Hacking Team, l'azienda fondata dal mio compagno di universita' David "Vince" Vincenzetti (eravamo in anni diversi), è stato hackerata.
C'e' un lungo articolo su CSOOnline circa alcuni degli aspetti piu' controversi emersi da questo breach, tipo la fornitura di tecnologia a paesi autoritari che l'hanno usata per perseguire dei dissidenti.
Altre persone che conosco mi dicono di essere certi che finchè hanno lavorato lì, HT non ha mai venduto il suo prodotto a paesi canaglia. Questa e' anche la versione attuale di HT.
Certo che non c'e' un confine netto tra paesi canaglia e non.
Trovo abbastanza sorprendente (e in certo modo preoccupante) che 400GB di dati escano dall'azienda (e quel tipo di azienda) senza che nessuno se ne accorga.
Alcuni mesi fa ho avuto uno scambio di mail con Vince in cui argomentavo contro una sua dichiarazione negativa nei confronti di bitcoin, che non condivido.
Non condivido inoltre l'affermazione, che viene riportata dalle cronache, per cui HT ritiene che i suoi tool di spionaggio non ricadano negli strumenti soggetti ad embargo per armamenti. Se lo era la cifratura a 128 bit, a maggior ragione dovrebbe esserlo l'RCS – Remote Control System.
Ogni volta che ci si avvicina a questioni di intelligence il terreno diventa molto impervio, in quanto bisogna bilanciare interessi divergenti. Una cosa che merita molta cautela e riflessione.
E' la ragione per cui intervenni nella conversione del DL Terrorismo con un emendamento che evito' la possibilita' di usare, per un ampio insieme di ipotesi di reato, captatori per acquisire files dai computer target, ad insaputa degli indagati (proprio il genere di cose che fa l'RCS).
Da li' a poco ho avuto un altro scambio di email in cui ho cercato, senza successo, di approfondire un'affermazione fatta da HT che TOR e la cifratura potevano essere "neutralizzate" senza installare agenti sui target. Immagino che a nessuno sfuggano le implicazioni, dall'home banking in giu'…
Mi ha sorpreso che dopo una cosa che rientrava cosi' nel core business di HT, e che era accaduta pochi giorni prima, David non sapesse che ero in parlamento…
A questo punto non so che conclusioni trarre.
Mi sentirei di mettere la mano sul fuoco per HT ? boh
Chi l'ha hackerata e diffuso il materiale sono degli stinchi di santo ? boh.
Le affermazioni di HT sono tutte genuine ? boh.
I contenuti diffusi sono tutti genuini ? boh.
Una brutta vicenda, da qualunque parte si guardi.
Soprattutto se consideriamo che una parte dei servizi di HT per i loro clienti prevedono un lato server, gestito da HT. E che nella documentazione leaked sarebbero presenti degli exploit zero day (cioe' del codice che sfrutta vulnerabilità esistenti ma non note, per i quali i produttori di sistemi operativi e di antivirus, ecc. non hanno prodotto delle contromisure).
C'e' forse il rischio che chi ha violato HT abbia a sua disposizione delle armi per violare altri e magari abbia anche acquisito un patrimonio informativo per cui i leak di Snowden potrebbero essere giochi da ragazzi.
Vedremo gli sviluppi nelle prossime settitmane.
UPDATE: ora che sono usciti i documenti, HT ha dovuto iniziare le ammissioni. e sono decisamente meno incline al garantismo. Abbiamo fatto una interrogazione parlamentare al riguardo.
sono poco incline a credere ad una operazione in stile Anonymous. a naso direi piu' probabile qualcuno di incavolato che gliela sta facendo pagare (concorrente ? cliente ? ex dipendente ?)
ttra l'altro sono state pubblicate anche mail interne in cui parlano di me e le mie mail cui accennavo sopra. capisce che fa solo finta di non sapere che ero in parlamento… speravo che abboccasse e mi dicesse qcosa su tor e invece avevo abboccato io. 🙁
UPDATE 2: giusto per la cronaca, casomai qualcuno si fosse distratto e perdesse di vista la big picture con tutto il contesto… nel periodo in cui c'e' stato quel giro di mail (che mostrano chiaramente che non si fidava di me) mi sono accorto ed ho denunciato io l'emendamento che prevedeva un uso di captatori ed ho fatto io l'emendamento che ha portato allo stralcio, quindi nessuna condiscendenza.
UPDATE 3: Anche Ghioni (già coinvolto in scandali re. cybersecurity, con cui non ho mai avuto contatti in vita mia), ha alcune perplessità che mi sembra possa non essere del tutto campate in aria, non escludibili a priori.
7 luglio 2015 @ 22:49
Se il livello di sicurezza e di consapevolezza del rischio informatico tra il top management di HT è quello che appare dai primi documenti letti, non bisogna certo scomodare potenze straniere ed esperti esoterici di sicurezza per spiegare l’intrusione devastante nei sistemi della società milanese. Ma il focus credo sia da spostare sulla assoluta inattendibilità di elementi di prova acquisiti tramite “captatori” o “trojan di Stato” manovrati e gestiti da personale al di fuori di ogni controllo. Magistratura e investigatori dovrebbero interrogarsi sui rischi di inquinamento delle indagini a seguito della insensata concessione di fiducia verso operatori che agiscono con strumenti la cui attendibilità è del tutto non “cetificata” né certificabile…
8 luglio 2015 @ 07:39
C’è una cosa che hai omesso di dire sul periodo universitario. Allora era in atto una faida intestina tra Vince, Tutor, e molti studenti che ritenevano Vince inadatto a occupare il posto sul quale era seduto, in sala macchine, mettendo in dubbio la sua eticità.
E’ bene anche ricordarsi che Vince era protetto da Marco allora, guai chi me tocca!
Paradossalmente sarebbe stato meglio che quando ero root sulle macchine del silab avessi fatto, un bel rm -rf / ogni tanto, chissà cosa sarebbe successo se l’avessero buttato fuori allora, per inettitudine come sysadmin. Sarebbe forse stato meglio che altri che potevano fare altrettanto non l’abbiano fatto come non lo fatto io perchè troppo onesti.
Forse non avrebbe mai fondato il CERT-IT e nè tanto meno quell’obrobrio di non HT!
C’è gente che fa fatica a fatturare 30 euro all’ora e questi sparano fattura da 1 milione tondo per roba discutibile che se non fosse per chi sono andati a venderla ti sbatte diritto in galera se la usi o la vendi!
8 luglio 2015 @ 08:31
La PA italiana tutta, dalla Difesa alla PCM, è costituita, in gran parte, da una massa di incompetenti foraggiati dalla grande “industria nazionale”, altrettanto incompetente: perché stupirsi di questi fatti e di queste realtà ?
8 luglio 2015 @ 09:07
Io comunque fossi nei panni dei dirigenti di HT cercherei il modo di sparire dalla faccia della terra. Avere a che fare con certi “enti” di paesi quanto meno “discutibili” dopo una cosa del genere rischia di finire male …:-(
8 luglio 2015 @ 10:23
come regola della casa, non accetto commenti con indirizzi email inesistenti e li rimuovo, a prescindere dal loro interesse.
8 luglio 2015 @ 11:43
Cosa c’entra la PA? Si sta parlando di una azienda privata che vende soluzioni di sicurezza (spionaggio) in tutto il mondo e dovrebbe essetre tra le più protette al mondo per la natura delle sue attività oltre che competenze. Se è caduta lei, a cascata può cadere tutto, compresa la PA contro la quale si sta scagliano (e ancora non ho capito il motivo).
8 luglio 2015 @ 21:20
Senza le commesse della PA queste aziende non esisterebbero. E la loro attivita’ – PA e suoi fornitori – cresce in proporzione della paura che le persone hanno delle cose che non conoscono e non capiscono; come i computer. Cui prodest? Is fecit.
Buona parte, se non tutte, le paure popolari nei confronti dei Cavalieri dell’Infocalisse (pedofilia, terrorismo, satanismo, frodi finanziarie), vengono da questi signori, in combutta con la politica degli ultimi anni: la Sikurezza informatica che hai visto nel primo decennio del millennio e’ falsa ma e’ quella (il modello) che piu’ di tutte garantisce enormi flussi di denaro, costanti, a chi ci lavora dentro. E soprattutto l’intangibilita’ dell’errore, e l’impunibilita’ degli attori, perche’ tutto e’ trincerato dietro l’onorabilita’ delle istituzioni (segreto di stato, presidente della repubblica, divise assortite, bandiere, papi, re, etc), nelle carceri (dove si muore), negli istituti psichiatrici (dove si muore), e nel cimitero (se e quando un corpo e’ stato ritrovato). Quindi tutti e solo quelli che sanno; muoiono, oggi o tra 50 anni, ma sempre prima di dirti qual’e’ la Nostra Storia.
Mettere un LED a fianco alle cam dei cellulari e dei computer in modo che le singole persone possano vedere da soli se sono spiati, costa 2 centesimi per terminale (che ognuno si paga); monitorarli tutti, costa milioni (che tutti devono versare all’erario pubblico).
Mettere una interfaccia sms con cui interagire per filtrare i numeri degli scocciatori, quando qualcuno ti stalka, costa 20 euro; scandagliare i comportamenti di tutti gli adulti in vita, costa milioni.
Mettere una mirabolante offerta sul sitarello della compagnia telefonica, costa 20 euro; produrre una vera rete di telecomunicazioni (in fibra, oggigiorno; ma Pirelli la prima l’ha posata negli anni ’80), costa milioni.
Ora, se sei in Italia, guardati attorno e dimmi cosa vedi: il tuo cellulare ha un LED in parallelo sulla cam, o illustri sconosciuti (anche privati, non giurati) possono spiarti (legalmente)? Puoi mandare un sms con scritto (stalker 02432084203) e stare tranquillo che non riceverai piu’ telefonate da quel numero, oppure sotto casa hai un cartellone pubblicitario 10×10 metri con una figa in mutande che galoppa Valentino Rossi in tuta motociclistica sponsorizzata TIM e la nuova offerta a caratteri cubitali?
8 luglio 2015 @ 22:13
Non ti preoccupare, se sono mai esititi, sono gia’ scomparsi; quelli che vedi (o vedrai) sono quelli che ti vengono mostrati. Inoltre, se fossi in te, mi preoccuperei di piu’ del tuo paese, piuttosto di quelli che vedi sulle infografiche.
8 luglio 2015 @ 22:18
Il sistema che stiamo usando non garantisce l’integrita’ di messaggio, stai abusando dei tuoi ospiti…
9 luglio 2015 @ 07:50
A parte che sta mettendop insieme vari argomenti, ribadisco che qua la PA non c’entra nulla, caso mai sono i governi che poi poi operano attraverso la PA (un software non lo compra un ministro ovviamente, ma la fa comrpare al ministero). In tal caso, rimanendo in tema PA, se facciamo pure l’ipotesi che è stata la PA incopetente a rivolgersi a questa azienda, faccio presente che all’HT si sono rivolte pure decine e centinaia di azienede private e pure di un certo “spessore”. Ripeto e ribadisco: nel momento in cui cade HT cadono a cascata tutti, o HT non era all’altezza e sciocco chi ha comprato (governi ed aziende), o era molto sicura ma è bucabile (ed allora son bucabili PA ed aziende). Non si tratta di un problema di PA insomma, se poi serve dare addoso a qualcuno così, per sport, allora si faccia pure.
9 luglio 2015 @ 11:56
“I contenuti diffusi sono tutti genuini ? boh”
Ho avuto modo di fare una (rapida) lettura dell’archivio e quello che ho visto è genuino (compreso il fatto che un mio ex-collega è dipendente di HT con tanto di contratto di lavoro e retribuzione lorda). Farò una analisi dei sorgenti dei vari tool per capire se in questa area può esserci del vero (e quanto sia preoccupante), ma da quello che ho visto c’è *tutto* quanto HT conteneva 1:1, compresi commit di git non particolarmente brillanti o di cui vantarsi.
9 luglio 2015 @ 12:32
Quando ero bambino giocavo allo sceriffo.
Poi crescendo ho iniziato con gli agenti segreti, opportunamente accessoriato con le scatole con il kit del piccolo 007 della Mattel.
Ci sono persone che crescendo hanno smesso, altre che hanno continuato, convinti che il kit del piccolo qualcosa continuasse a fare sugli altri la stessa presa.
Questo vale per ambo le parti: un governo che si affida ad una società per l’intelligence ed uno che dice di farla e usa “pa$$w0rd”, esattamente come gli occhiali scuri con scritto 007 in bianco del kit summenzionato.
Temo che l’enorme mole di dati raccolti da tutti, sia un enorme bolo di immondizia destrutturata, raccolta a casaccio e trattata per estrazione a sorte alla bisogna; spesso nessuno se ne fa nulla, e funge solo da copertina di Linus per chi la raccoglie e da reddito per chi fornisce l’infrastruttura.
Il caso peggiore è quello di qualcuno che cerca pattern nella monnezza e CREDE di averli trovati.
Temo inoltre che il solo vero carattere distintivo di questa storia, rispetto a tante altre analoghe, è che si sia venuta a sapere.
Un po’ come i casi Snowden, o Manning; nessuno, credo, sia saltato sulla sedia per i contenuti, piuttosto per il fatto che fosse possibile farli uscire, nal secondo caso senza che fosse nemmeno necessario un hack da asilo nido su “pa$$w0rd”.
Magari mi sbaglio, ma ho come l’impressione che in questi momenti si usino dei telescopi VLT (o forse VLSI) per osservare dita.
9 luglio 2015 @ 13:02
ricordo che una delle regole della casa è evitare il turpiloquio…
9 luglio 2015 @ 14:06
Se tu fossi cliente di una banca non ti arrabbieresti se domani venissi sapere che su internet gira qualche tera di dati della banca, contentente informazioni amministrative sui clienti, i loro estratti conto, i numeri delle loro carte di credito, ecc? Ti arrabberesti. Eccome! Secondo me!
Con HT è la stessa cosa, è un enorme danno per i loro clienti, un enorme danno per internet poichè non si tratta solo di documentazione su falle 0 day, ma ci sono tool molto sofisticati a corredo che possono fare moltissimi danni, far nascere nuove generazioni di malware e mettere in difficolta un mucchio di sysadmin e webmaster.
Si sono evidemente sopravvalutati, dubito che il livello di sicurezza della loro rete fosse lontanamente paragonabile a quella delle banche. Perchè se no a questo punto converrebbe fare una legge e vietare alle banche di andare online con i servizi….
Ma il fatto è un altro, si confonde spesso e volentieri l’esperto di sicurezza con i cracker. Cracker, non hacker, visto quello che fanno sono cracker non hacker.. dovrebbero chiamarsi Cracking Team, sarebbe molto più appropriato.
Conoscere il mondo dell’hacking ti può aiutare ad essere un migliore esperto di sicurezza ma in generale essere cracker non fa di te un vero esperto di sicurezza. Quindi non mi sorprende che la loro rete interna fosse così vulnerabile, non mi sorprende leggere che tenevano le password in chiaro su dei file (questo ho letto) quando è un decennio che sono disponibili password mandager che criptano in AES, ecc, ecc, ecc.
9 luglio 2015 @ 15:40
Bella foto ad ingrandimento 100x di un dito, appunto.
1) che c’entra la mia banca ed i miei dati presso di lei con questa storia? Qui parliamo di governi che collezionano dati *indiscriminatamente*, che è il problema principale
2) per collezionarli si affidano a una società privata che si scopre essere forse abbastanza brava a collezionare falle da vari luoghi (e magari forse a scoprirne, forse) e sfruttarle in un suo prodotto, ma totalmente incapace di gestire la sicurezza aziendale anche a livello di nido d’infanzia.
3) detto prodotto sfrutta falle, ma contiene backdoor a favore di terzi rispetto a chi lo usa e lo paga; ne segue che vista la completa incapacità di cui al punto 2), ed essendo costoro in grado di sfruttare (almeno potenzialmente, essendone autori, forse) detto backdoor, di fatto hanno esposto i clienti (vedi punto 1, ovvero noi in senso lato) al furto di dati.
Ora, finché il cliente della società in argomento è la bocciofila che vuole sapere se il Rag. Brambilla fa la cresta sul ricavato del distributore automatico, nella sua veste di tesoriere, è un fatto grave ma circoscritto ad un ambito privato (dito).
Ma se il cliente è un governo (che sia o meno canaglia per qualcuno poco cambia, tecnicamente, è comunque grave), allora essendo i governi espressione dei cittadini ed avendo senso solo se sono al loro servizio, se questi governi comprano e mettono in produzione questi prodotti, senza un auditing, senza una verifica, senza capire cosa fanno e forse ignorandone il perché (“mi raccomando signorina, buttiamo via tutta questa cartaccia, ma prima di buttarla faccia delle fotocopie di tutto” ©), allora ecco la Luna.
E, come scrivevo “Temo che l’enorme mole di dati raccolti da tutti, sia un enorme bolo di immondizia destrutturata, raccolta a casaccio e trattata per estrazione a sorte alla bisogna; spesso nessuno se ne fa nulla, e funge solo da copertina di Linus per chi la raccoglie e da reddito per chi fornisce l’infrastruttura.
Il caso peggiore è quello di qualcuno che cerca pattern nella monnezza e CREDE di averli trovati.”
La mia preoccupazione, poi – prima ancora che rabbia, è poi che questi backdoor se scoperti ed usati, possano essere impiegati anche per iniettare dati, oltre che per prelevarli, rendendo qualunque elaborazione eventuale successiva manipolabile.
Bene che sia venuto fuori.
9 luglio 2015 @ 16:09
Temo tu stia impiegando una definizione troppo accademica di PA; e poco realistica.
I servizi segreti AISI/AISE (nati dalla riforma del SISMI/SISDE a seguito di altri scandali; anche analoghi: ‘Tiger Team’ di Telecom Italia, Bove’, Scioni) hanno come mandato la “protezione degli interessi politici, militari, economici scientifici e industriali dell’Italia” ( https://www.sicurezzanazionale.gov.it/sisr.nsf/chi-siamo/organizzazione/aisi.html ). Ovvero quella parte di PA, in particolare AISI (“I” per Interno), ti sta spiando; non solo a tutela dei vari perimetri militari, scientifici ed industriali, dove una qualche ragione d’esistenza di tali attivita’ segrete ha motivo di essere (sono per lo piu’ attivita’ salvavita, come da codice di autoregolamentazione NATO, e/o con valore scientifico); ma anche per quelli ‘politici’ ed ‘economici’. In sostanza per una qualunque cosa. E’ placido fin dal rinascimento che ‘sicurezza nazionale’ e’ antitesi di ‘stato di diritto’; se la estendi anche al fatto che (storia inventata ma ricalcata su fatti reali) un veneto si e’ venduto casa per mettere la residenza nel collegio Basilicata2 e buttare li’ i suoi quattrini per campagna elettorale (volantini, cene, etc) in forza alla promessa del partito di blindargli la candidatura (ie: ‘interessi politici’). Hai trasformato perfino le pietre, in PA, grazie ad AISI.
Quando Storace s’e’ trovato nel suo inferno giudiziario per accesso illecito ai dati di Laziomatica… e’ stato lui ad ordinarlo all’operatore informatico della Regione (PA), o l’operatore ad essere truffaldino (o semplicemente ingenuo; errore, non dolo), o l’AISI, o l’HT per conto dell’AISI, o l’HT direttamente per conto di Berlusconi Primo Ministro che voleva proteggere (da Storace) i propri ‘interessi politici’?
Quando e’ scomparso un disco dalla scrivania dell’ufficio di Montecitorio, di una parlamentare grillina, quale parte della PA e’ stata: uno dei commessi ‘amico di’ perche’ assunto con contratto blindato a tempo indeterminato da qualcuno delle legislature precedenti, o l’AISI?
Quando sono stati beccati degli spalloni a rubare, aprire, modificare, raccomandate nel centro di smistamento postale di Napoli, erano semplici furti, la mafia, l’AISI, o tutti e tre?
E per sapere quale parte della PA e’, devi chiedere ad un’altra parte della PA, ovvero il COPASIR; un comitato di controllo… da una parte gente che ti fa sparire nel Serengeti e poi tira un trafiletto all’ANSA (ie: tutti i giornali italiani) che il tuo passaporto e’ stato ritrovato in un covo di CONTRAS amazzonici dediti alla pedofilia e la vendita di organi umani… dall’altra un ridicolo comitato che non ha possibilita’ di controllare alcunche’, anche visto e considerato che parte delle attivita’ di spionaggio sono certamente indirizzate verso i politici stessi (che in genere fanno quadrato ‘per il partito’). E quindi talune informazioni del Dipartimento delle Informazioni per la Sicurezza non sono certamente illustrate all’autorita’ civile, Il Comitato, che dovrebbe monitorarle. Non so se sono l’unico a ricordarsi quando un parlamentare di Rifondazione Comunista prese una barca per andare a controllare cosa combinava Berlusconi nella sua villa in Sardegna (il cui approdo naturale era stato coperto da segreto di stato), e si vide cicciare fuori 2 carabinieri da una motovedetta, che lo cacciarono minacciando l’uso della forza… su un parlamentare che come tale, prima che questo compito fosse ristretto ad un piccolo innocuo comitato, aveva mandato di ispezionare anche le installazioni militari coperte da segreto di stato…
Queste sono solo alcune delle vicende pubbliche e come tali impiegabili per le discussioni pubbliche; ma se vuoi ti racconto le mie… che spaziano dal giorno in cui nel 2009 ho messo sul tubo un libro stampato nell’anno 2000 (ie: prima di Paypal, Enron, Worldcom, WTC 9/11, Google, Wikipedia, eBay, Paypal; PRIMA della sfera d’esistenza che hai in mente tu oggi), dal titolo ‘Cyberlaundering’ (e in TV imperversava la saga ‘maledetti hacker pedoterrosatanisti che ci rubano i soldi in banca’), fino a quando circa 6 mesi fa una tizia in ambasciata mi ha dato della spia (oltre a spacciatore, profugo, sfruttatore della prostituzione, e per finire s’e’ detta impaurita da me nonostante quello che aveva a fianco un bestione armato alto 2.10m per 120kg, ero io… non lei dietro al vetro blindato tra noi e lei) perche’ mi rifiutavo di rispondere alle sue domande su cose personali (placide, ma personali; e dare della mignotta alla mia ragazza di certo non l’ha aiutata a trovare soddisfazione alla sua impertinenza uterina).
Quindi ti pregherei di farla corta con discussioni sulla definizione corretta di PA e si, dare per scontato che la PA centra, e quindi dare per buono che e’ composta da incompetenti come da commento precedente al tuo. Se non incompetenti, da psicopatici e persone in cerca di attenzione; come la tizia in ambasciata. Non mi permetto di attribuire a lei una qualifica personale unica perche’ per quella occorrerebbe conoscenza piu’ approfondita, ma aut e’ psicopatica aut e’ attrice da 4 soldi e quindi state pagando un’altra persona problematica nella PA, invece di pagare qualcuno di utile… es: quello che mi e’ venuto a cercare dopo per strada con fare poco amichevole non era piacevole come l’ufficio e l’aria condizionata in ambasciata, pero’ mi e’ sembrato elemento piu’ utile. Credo che quello sia arrivato direttamente dalla Farnesina; perche’ tornato a casa dall’ambasciata (viaggio in autobus tra ragazzini e galline, per cui ho dovuto mettere da parte soldi per mesi) ho provato a chiamare il numero verde europeo per i servizi al cittadino, il quale mi ha dato il numero del difensore civico, il quale mi ha dato il numero della farnesina per i problemi con le ambasciate, etc… ho smesso di telefonare per evitare di consumare anche l’ultimo ‘gettone telefonico’ con cui eventualmente chiamare casa se dovessi finire in ospedale…
Ecco, i Pubblici Uffizi sono stati creati per risolvere le questioni in modo civile PRIMA che poi vengano risolti in modo incivile. Se la PA non funziona, ovvero se le funzioni di sicurezza della PA sono estese oltre i limiti Costituzionali, ovvero se un avvocato finisce per costare piu’ di un killer… vivi in un paese incivile, di cui HT e’ vicenda risibile.
Fa solo comodo dare la colpa agli invisibili; proveracci in un quartiere che cade a pezzi, acari del materasso, o hacker del computer.
9 luglio 2015 @ 16:25
mmm… se ‘impertinenza uterina’ e’ troppo poco gender, per favore correggila con ‘isteresi burocratica’. Tanto utero e isteresi hanno la stessa radice linguistica perche’ sia la cacca che le mestruazioni vengono dal ventre, esattamente come le nevrosi e le pratiche amministrative. Ma i piu’ non lo sanno, quindi non ti rovina TuoLibro.
9 luglio 2015 @ 16:27
Il suo scritto è molto interessante, ma vorrei farle notare che io non ho dato definizioni di PA, caso mai ho definito un processo. Il mio commento è partito da come rispota a “maurizio” che non ho ancora capito per quale motivo, rigaurdo la notizia di HT, asserisce che la PA tutta, quella italiana, è una gran massa di incopententi ecc ecc.
Ammesso e non concesso che questa affermazione corrisponde al vero, mi si vuole gentilmente spiegare il nesso con HT? Lasciamo stare definizioni ecc ecc, semplicemente, qual’è il nesso tra HT e PA italiana (tutta)?
Faccio altresì presente che clienti di HT erano governi di tutto il mondo e tantissime aziende private, mi domando quindi se possiamo estendere tale definizione di “gran massa di incopetenti ecc ecc” anche ad altri.
In bocca al lupo di cuore per le sue vicessitudini
9 luglio 2015 @ 18:06
Gianni, HT non crackava; da quanto ho letto forniva strumenti di cracking e risorse computazionali alla polizia. Talvolta comprandoli da chi li produce e scopre, talvolta producendoseli: erano persone che giravano il mondo per andare a comprare falle da rivendere, e attori da mettersi a copertura delle proprie identita’; e finche’ rivendi questi assets alla Polizia (in tutte le sue manifestazioni: polpost, stradale, agenzia governativa, etc) non e’ illegale. I decreti antiterrorismo, antipedopornografia, antipirateria, etc; sono stati fatti proprio per legalizzare queste attivita’.
L’unica cosa di illegale che potrebbero aver fatto e’ l’accesso ai dati che la Polizia rastrellava e in teoria dovrebbero essere acceduti solo da polizia e pm in fase d’indagine, e dagli altri attori nella fase dibattimentale; pero’ in genere l’accesso illecito ai dati non e’ accertabile. Io mi sono incazzato per il sequestro del mio computer perche’ non lo hanno sigillato, non hanno fatto copie per me, etc; e infatti mi son ritrovato testi, foto, video, personali… e conseguenti furti d’identita’, ovunque. Per il resto i carabinieri son stati impeccabili. L’unico lato negativo e’ che non posso lavorare; e a mala pena muovermi; perche’ come mi muovo rischio di ritrovarmi impacchettato per il Congo, o Rebibbia, o una qualunque altra meta non invidiabile.
Poi, se (polizia o HT) hanno ammazzato qualcuno per aiutarsi col lavoro… questo e’ un altro discorso (che si chiama omicidio ed ha ben poco a che vedere con i dati); ma in punta di informazione, non c’e’ granche’ di illegale. Per lo meno non senza andare a ravanare dentro quei dati che stanno cercando a tutti i costi di non farti scaricare (‘c’e’ un virus dentro!’, ‘sono solo frattaglie!’, etc).
Anche tutta questa discussione sulla violazione dell’export verso paesi canaglia e’ … assurda. L’accordo di Wassenaar e’ stato reso obsoleto de facto piu’ di 15 anni fa; grazie a tutta una serie di violazioni pro-diritti civili, in particolar modo per poter disporre della crittografia proprio a tutela di tutti gli individui da questi criminali legalizzati, e a tutela delle opere d’autore e chi le paga (es: il creatore di PGP che stampa il codice e lo porta in Europa sottoforma cartacea; DVDJon che stampa il codice su una maglietta e poi vola in Europa).
A cui sono quindi conseguite l’injecting di codice malevolo negli strumenti in circolazione, che garantisse alle agenzie accesso a tutto cio’ che il popolino aveva in mano.
La crittografia non sono munizioni; e’ matematica. Vietarla e’ paradossale. Uno e’ uno strumento fisico concepito per uccidere (che puo’ essere usato anche per scopi condivisibili, nobili, etc); l’altro e’ uno strumento immateriale nobile implicito nel raziocinio umano e che di per se non puo’ uccidere. Che cosa vieti? I neuroni?
Il matematico che ha INVENTATO queste macchine e’ stato ammazzato. E non solo lui. Zimmermann e DVDJon si son fatti 10 anni di processo; DVDJon addirittura e’ stato abdotto in US (rapito all’aereoporto da agenti americani, se non ricordo male; o forse quello era un altro, DVDJon fu allamato con la promessa di un lavoro eccezionale e appena arrivato s’e’ ritrovato in manette). Dopodiche’ tutto il globo ha lucrato su queste cose per 15 anni.
John Nash e’ morto qualche mese fa. E gia’ ci sono questi revisionismi (dove l’Equilibrio di Nash diventa la Schizofrenia di Nash). Vergogna.
C’e’ una enorme quantita’ di persone (tra cui le banche! Le agenzie di marketing! Le telco! Religiosi! E parte delle tecnologiche) che ti vuole far credere che una persona normale non possa operare correttamente il proprio terminale, e quindi e’ bene rinunciare ai propri diritti (ie: la crittografia) accettando la sorveglianza di massa… ma e’ una cosa assolutamente falsa: strumenti a portata di segretaria, utonto e bambino, ci sono. Ti lasciano solo l’onere di gestirti le chiavi, come fai oggi con le chiavi di casa, il pin del bancomat, e la password di facebook. Esponendoti, chiaramente, a violenze private: l’omino che ti da’ una mazzata quando esci dal bancomat, e quello che ti frega il giubbotto e il cellulare dietro l’angolo… ma solo quelli, come sempre e’ stato e sempre sara’. Tra l’altro oggi oramai cellulari intelligenti e palmari colorati sono arrivati a 50 euro; quanta gente puo’ essere rapinata per un cellulare da due soldi? Purtroppo le rapine ci sono, ma e’ veramente un pericolo frequente per gli individui, o sono le banche, gli operatori telefonici, le assicurazioni, etc, che vogliono scrollarsi di dosso l’onere di provare che in caso di furto di valuta elettronica loro non sono co-responsabili del furto per inadeguatezza dei loro sistemi?
9 luglio 2015 @ 18:21
ma questa ?? spiegacela !! https://www.wikileaks.org/hackingteam/emails/emailid/150082
9 luglio 2015 @ 18:22
Quale parte di “protezione degli interessi politici, militari, economici scientifici e industriali dell’Italia” ( https://www.sicurezzanazionale.gov.it/sisr.nsf/chi-siamo/organizzazione/aisi.html ) non ti e’ chiara?
Cosa pensi che manchi oltre a “politici, militari, economici scientifici e industriali” per poter sostituire quell’elenco con la sola parola ‘tutta la PA’? O forse non consideri le agenzie governative come parte della PA? Ma tu, nei passati 20 anni, dove hai vissuto? Quanti anni hai?
9 luglio 2015 @ 19:04
Purtroppo non ha visto il bluff e non mi ha detto nulla..
9 luglio 2015 @ 19:32
Quintarelli ha scritto:
>Mi sentirei di mettere la mano sul fuoco per HT ? boh
>Chi l’ha hackerata e diffuso il materiale sono degli stinchi di santo ? boh.
>Le affermazioni di HT sono tutte genuine ? boh.
>I contenuti diffusi sono tutti genuini ? boh.
Ao’ Quintarelli, ti voglio bene ma non fare il furbo, il quadro sara’ ancora da mettere bene a fuoco ma le responsabilità morali e legali di HT sono evidenti… con l’ultima domanda cerchi di seminare il dubbio che le fatture verso i Paesi non rispettosi dei diritti umani non siano genuine?
Capisco che forse non vuoi infierire su un tuo conoscente, però a questo punto è meglio non commentare.
Ti ricordo che sei un Parlamentare, quindi spero che farai tutto il possibile per fare chiarezza della situazione e per evitare che aziende del genere possano fare quello che facevano.
9 luglio 2015 @ 20:02
Eheh… la mail di per se non e’ niente di male: e’ un deputato che si confronta con esperti di settore su potenzialita’ e necessita’ legali degli strumenti specializzati. Essere d’accordo su Tor, darknet, Anonimato, etc; magari no. Ma di per se e’ normale che un politico cerchi pareri dagli esperti, dagli amici, etc; per lo meno non mi pare che gli abbia promesso commesse (ie: soldi).
Piu’ osservo questa faccenda piu’ mi appare ridicola. Quelli, esperti di sicurezza, che parlano in chiaro? Che si bevono tutte le storie su Tor, Darknet, etc? Mi sembra Alfano che discetta mezz’ora sulla scelta di cambiare Alquaeda in ISIS per una questione di immagine… o i nemici dell’Esercito Italiano tra Movimento di Liberazione del Nord, i Puffi, e il Movimento per il Nord Libero. Ce n’e’ una in cui il tipo chiede a Quinta cosa siano gli interni… o s’era appena svegliato… o e’ stato troppo tempo a Washington, Singapore, etc… tra l’altro gli ‘affari interni’ si possono chiamare cosi’ anche in inglese. Per lo meno storicamente.
Questo sempre che il leak sia genuino.
9 luglio 2015 @ 20:03
Trovo le tue osservazioni molto interessanti ed in parte le condivido.
A mio avviso però i principali danneggiati sono i clienti di HT, quindi gli enti governativi (la bocciofila) e non tanto i monitorati (Rag. Brambilla). (Anche quelli ma lasciamo per ora stare i diritti degli indagati e/o gli scandali alla NSA)
Sono i danneggiati perchè questo impiccio invaliderà le loro indagini. Io non credo (così mi auguro) che i dati siano raccolti “indiscriminatamente” come hai scritto al punto 1, come le intercettazioni telefoniche si spera siano fatte a norma di legge. Non si può nemmeno sapere se questi dati raccolti siano, come hai scritto tu, “un enorme bolo di immondizia destrutturata”. Immagino invece siano ben ordinati, ci siano audit (non confondiamoli con quelli della sicurezza interna della rete e dei server). Insomma, tutto fatto a norma affinche questi dati possano essere usati come prove.
Il problema semmai è appunto la backdoor che visto quello che è accaduto, presente o meno, è probabile che renderà tutto inutilizzabile.
Le backdoor però si trovano ed eliminano, dopotutto Vincenzetti negli anni ’90 già scriveva ATP (anti tampering program) per UNIX. Vincenzetti non è idiota, voi che non trovi le backdoor? Le trovano e le eliminano, o ripristinano i file alterati dal backup offline del codice che immagino abbiano. Ma il danno ormai è stato fatto.
9 luglio 2015 @ 20:23
Beh, fino a prova contraria ho fatto io l’emendamento che ha limitato i captatori, quindi nessuna condiscendenza. Anche perché era un mio compagno di università 20-25 anni fa e da allora direi che se siamo ientrati in contatto in 5 occasioni è tanto.
Quando ho scritto il post c’era solo la notizia, non i singoli doc.
Adesso merita un update.
P.s. Fyi abbiamo fatto una interrogazione parlamentare con l’intergruppo
9 luglio 2015 @ 20:57
Non volevo mettere in dubbio la tua onestà e correttezza, soltanto che quelle domande retoriche mi erano sembrate eccessivamente diplomatiche, e soprattutto la 2^ e l’ultima le trovo irritanti perché sono argomenti utilizzati da troppi giornalisti e politici per sminuire l’impatto di certe rivelazioni: non avevo tenuto conto del fatto che la notizia fosse appena uscita.
9 luglio 2015 @ 21:35
Io mi domando invece delle cosa
– Come faccia lo stato a chiedere consulenza ad una banda di cialtroni che usa passw0rd come pwd e non si accorgono di 400 GB di dati che vengono passati sotto il loro naso, che va a comprare exploit di Adobe Flash in Russia (altro paese sotto embargo. Ma dov’è la GdF ? ) con tanto di fattura
– Perchè lo stato italiano nella figura del rappresentante italiano all’ONU abbia messo le mani sul fuoco sull’onestà dell’HT in merito ai rapporti lavorativi con il Sudan ed altri stati “canaglia”
– Perchè la Polizia Postale si affidi ad una ditta che sembra stesse sviluppando un tool interno a RCS per poter mettete dei file compromettenti sulla macchina-target in barba a tutto il garantismo giudiziario delle leggi italiane (cito anche articolo del Fatto Quotidiano ) http://www.ilfattoquotidiano.it/2015/07/09/hacking-team-ora-chi-fornira-delle-risposte/1858601/
– Quali sono le garanzie sul fatto che lo Stato Italiano tramite l’AISI non faccia mass-sirveillance sui suoi cittadini al pari del scandalo Datagate successo negli Stati Uniti visto che i strumenti per farlo ce li aveva
– Come possa essere lei signor Quintarelli a fare una interrogazione parlamentare dopo che sono emerse email che lei era in rapporti con il signor Vincenzetti dell’HT
– Perchè non è partita subito una maxi-indagine CONTRO Hacking Team e non CONTRO IGNOTI per l’intrusione?
– Perchè noi italiani dobbiamo fare sempre queste figure da scemi, peracottari, vedete voi che termine usare, nel mondo intero con questi scandali?
9 luglio 2015 @ 22:01
Guarda, come ho scritto sono poco incline a credere all’hacker buono. Mi sembra più probabile che sia qualcuno incavolato. Se era un ex dipendente magari è tutto genuino. Se è un cliente, qualche dubbio in più sul fatto che ci possano essere delle pillole avvelenate, ce l’ho
Spero di avere chiarito
9 luglio 2015 @ 22:07
E’ genuino. Non solo la lista dei dipendenti corrisponde con tutte le risorse consultabili pubblicamente e non, ma le mail cui sopra ed altre che ho letto nel frattempo contengono diversi dati non facilmente falsificabili. Inoltre i repository dei sorgenti sono completi di metadati e sono in grado di vedere lo storico di chi ha cambiato cosa, e nessuno si prenderebbe la briga di fare centinaia di commit false da login corrette di dipendenti (di cui TUTTE le caselle di posta sono state lette ed archiviate in intervalli temporali compatibili con il timing della vicenda). Inoltre ci sono particolari più “umani” (e deprimenti per certi versi) di quanto e come lavorano i dipendenti di HT troppo verosimili per essere inventati (foto da telefonini in ufficio, le immagini dei desktop dei pc e così via). HT evidentemente non aveva policy aziendali per la visione di porno in ufficio visto che il sysadmin (il drittone che teneva in un file le password dei server interni in chiaro in un file .txt da notepad) aveva dei link su youporn nel desktop dei suoi film preferiti. Personalmente trovo incredibile quanto questa gente si sentisse sicura di sé. Tutto il lavoro di leakage ha richiesto qualche ora e a quanto vedo non avevano particolarmente fretta nel farlo. Sapevano quanto sarebbero rientrati in ufficio ed hanno fatto con professionalità il lavoro. Meglio di quanto non abbiano fatto in HT, direi.
Quinta, se hai tempo leggiti le mail sono interessanti. Io domani ritorno a guardarmi i 410GB di torrent. Buona notte.
9 luglio 2015 @ 22:11
Come ho scritto sopra,
fino a prova contraria ho fatto io l’emendamento che ha limitato i captatori (spiego: ovvero contro un uso indiscriminato di tool come RCS), quindi nessuna condiscendenza. Anche perché era un mio compagno di università 20-25 anni fa e da allora direi che se siamo ientrati in contatto in 5 occasioni è tanto.
E si, cercavo di capire cosa faceva.
ho buttato un amo e invece sono abboccato io quando vinmcenzetti faceva finta di non sapere che ero in parlamento, come dimostrano ampiamente le altre mail che mi riguardano girate li’ dentro (ed anche fuori da li..)
10 luglio 2015 @ 08:02
mfp, continuiamo a non capirci, vedo di spiegarmi meglio: cosa c’entra “tutta la PA” è incopetente con l’attacco subito da HT? Sto chiedendo la spiegazione di questo nesso, di questo legame. Continuo a non capirlo. Mi ha scritto la sua interessantissima vicenda, mi parla di servizi segreti ecc ecc., ma continua a sfuggirmi il nesso tra HT e PA tutta incopetente. Tra l’altro, lo ripeto, “maurizio” parlava di PA italiana incopetente, mi domano il perché?? perché solo la PA italiana? ho provato ad immmagginare queste ipotesi:
1) la pa è incopetente perché compra i tool di HT al posto di farseli da soli. Ok, ma allora sarebbero incopetentei anche le altre PA e le aziende che si rivolgevano ad HT, oltre al fatto che ad oggi hanno scoperto HT, per quel che ne sappiamo magari la PA italiana (servizi segreti) utilizza altri tool e non si è fatta scoprire, sarebbe quindi l’opposto, è competente.
2) HT è gestita/manipolata dai servizi segreti italiani, si parla anche di backdoor ai loro prodotti (non confermato mi sembra), quindi il fallimento di HT corrisponde al fallimento della PA italiana (e per contaminazione l’allarghiamo a tutta la PA). Ok, ma se così fosse c’è da dire che per anni hanno messo in mano a potenze straniere tool potenti e magari anche con backdoor, cioè gli spioni spiati, sarebbe un bel successo per la PA italiana anche questo, finito male ma un bel successo, del resto lo ha fatto e probabilmente continua a farlo anche NSA finché Snowden gli ha scoperchiato la pentola.
Insomma, io sono un po’ crudo, non capisco i sottintesi, non ho imamginazione, se lei o il sig. maurizio riuscite a completare una frase del tipo:
“La fuga di dati e conseguente figuraccia di HT dimostra l’incopetenza della PA tutta italiana perché………”
Ecco, una cosa così, terra terra per chi non ci arriva, come me appunto.
La ringrazierei molto, mi credda, senza alcuna polemica o ironia.
Buona gioranta
10 luglio 2015 @ 11:35
L’emendamento del Nostro di cui appresso sta proprio a dimostrare che c’è una continua pressione per avallare la raccolta indiscriminata.
Quando si tratta di questioni così, poi, in genere la legge o l’articolo infilato nel milleproroghe di turno, serve a *sanare*, non ad estendere qualcosa…
10 luglio 2015 @ 16:06
Come gia’ ribadito, la regola della casa e’ niente mail farlocche quando si posta un commento (niente turpiloquio, ecc. ecc.) e, BTW, c’e’ il link integrale nel corpo del post
10 luglio 2015 @ 17:03
Non c’e’ granche’ da capire.
Risposta a ‘Cosa centra HT con la PA?’: gli atti pubblici dagli anni ’70 in poi, in modo incrementale, vengono per lo piu’ realizzati attraverso un sistema informatizzato; prima con i mainframe, poi con i personal computer. Quindi, se dici PA, dici ‘computer’; senza entrare nel merito di come e’ stato usato.
Risposta a ‘Perche’ tutta la PA?’: perche’ qualunque atto pubblico e’ stato oggetto, in potenza, di manipolazioni non previste dai codici e non tracciabili, e con probabilita’ di manipolazione crescente con l’aumentare dei decreti che hanno smantellato lo stato di diritto (ie: costituzione) per sostituirlo con l’interesse nazionale (ie: servizi segreti).
Ogni volta cioe’ che quell’elenco ( https://www.sicurezzanazionale.gov.it/sisr.nsf/chi-siamo/organizzazione/aisi.html ) si e’ allungato, arrivando ad includere anche ‘economia’ e ‘politica’, ha reso inconsistente e inaffidabile tutti e ogni atto pubblico; perche’ e’ stato creato un movente universale, totalmente arbitrario, inconsistente, e intassabile, per manipolare gli atti alla bisogna. Tutti gli atti pubblici soggetti ad alterazione, sofisticazione, arbitraria.
Tutto: nomine di rappresentanti, trascrizioni di testimonianze giurate o semplici interviste giornalistiche, ordinanze di carcerazione, lauree, fatture, gazzette ufficiali, testimonianze giurate, bollette … potrebbe essere falso.
Ti lascio in balia del Braccio Noioso della Legge: leggiti da solo la sentenza 1/2014 della Corte Costituzionale ( http://www.cortecostituzionale.it/actionSchedaPronuncia.do?anno=2014&numero=1 ) con cui delegittimano, nel 2014, porzioni di legge elettorali del 1957 (deputati) e del 1993 (senatori), perche’ uno dei diritti costituzionali fondamentali (“voto di preferenza”) e’ stato “illegittimamente soppresso dal legislatore del 2005”. Difetto di legittimita’ (di tutta la PA).
La parte “7.– È evidente […]” la puoi tralasciare perche’ inizia con “E’ evidente” per affermare una cosa empiricamente falsa.
10 luglio 2015 @ 17:38
Stefano, qual è la tua opinione su questa conversazione:
https://www.wikileaks.org/hackingteam/emails/emailid/33679
e su questa mail:
https://www.wikileaks.org/hackingteam/emails/emailid/179205
E’ a questo che ti riferisci quando dici che mostrano chiaramente che non si fidavano di te?
10 luglio 2015 @ 20:37
Penso tante cose..
nel primo thread appare chiaro che non si fidano e che sapevano benissimo cosa facevo, cosa invece di cui fa il finto tonto nel thread in cuinon mi rispondeva su TOR. per questo dico che sono stato io quello che ha abboccato.
Si fosse fidato non avrebbe fatto finta di non sapere cosa facevo, mi avrebbe detto che aveva gia’ legami con qualcuno del governo, mi avrebbe chiesto con chi lavoravo e li’ avrei dodvuto dirgli che intervengo sui DL dell’interno in sede di conversione in parlamento…
Poi, penso che e’ scorretto dirottare le mail di ex dipendenti su altri account. non quelle di una funzione “sales@” ma quelle di un individuo
penso anche che c’e’ una punta di paranoia, o quantomeno di eccesso di sensibilita’ nei miei confronti.
sapevo che HT aveva smesso di fare sicurezza perimetrale, cosa invece che facevano dei ragazzi che prima lavoravano li’. un mio amico, titolare e presidente di una societa’, voleva fare un pentest ad insaputa del suo it manager e allora lo ho messo in contatto con quei ragazzi che non conoscevo, ma sapevo che esistevano.
Costantino, invece, e’ un mio compagno di universita’, socio dei Miners, che ha lavorato con me in I.NET, poi e’ andato in HT. Adesso credo faccia il consulente. E’ uno bravo. E’ un amico nel senso di quei rapporti forti che dopo 5 anni che non ti senti gli dici “ho bisogno di un piacere” e lui corre.
Penso che lui avrebbe dei motivi per essere incavolato.
10 luglio 2015 @ 21:30
A me tutta la storia continua ad apparire semplicemente ridicola, e con essa le mail che ti riguardano. Ho visto poco fa Ghioni sorridere di gusto e pensarla piu’ o meno allo stesso modo (“hanno pubblicato loro i 400 giga: visto che dobbiamo chiudere meglio pubblicamente pirla che 30 anni in galera”). Ghioni suggerisce come probabile ipotesi di movente che il gioco era diventato troppo pericoloso e l’autosputtanamento e’ stata la via d’uscita. Io penso che quel genere di business e’ in via d’estinzione perche’ le forze dell’ordine intendono proseguire in casa per non avere problemi con i contractors (che sono mercenari; non prestano giuramenti; non hanno valori).
10 luglio 2015 @ 22:12
Tutta la faccenda, tutta, e’ ridicola; ma e’ difficile distinguere tra elementi originali, elementi introdotti con il leak, ed elementi introdotti dalla fantasia di giornalisti e anche persone pseudo-competenti: Rapetto (ex GdF) su IlFattoQuotidiano specula sull’ipotesi di un sito .uk, che avessero prodotto un sistema per ‘creare pedofili’ (inoculare pedopornografia). Ipotesi assolutamente condivisibile (l’ho fatta anche io quando, dopo il sequestro, mi son trovato un furgoncino anonimo antennato in posizione defilata ma in linea visiva con l’antenna sul mio tetto: “controllano o inoculano? Stasera spengo tutto e vado in pensione”) ma… per quanto e’ capitato che innocenti venissero ammazzati dalla polizia… non e’ ancora mai stato confermato che si siano disturbati ad inoculare pedopornografia nei computer. Non ne hanno bisogno: se puoi ammazzare una persona, perche’ rischiare con qualcosa di piu’ complicato? E perche’ con qualcosa di COSI’ complicato? E piu’ facile farlo finire dentro per 4 piante d’erba, e poi appoggiarlo in cella insieme a Nino Lo Sguercio (4 ergastoli per omicidio di massa volontario; nel senso che gli e’ piaciuto) dopo aver promesso a quest’ultimo un rapporto sessuale completo, non protetto, senza sguardi indiscreti.
Nel caso del file incriminato di spargere pedopornografia nei computer degli altri per creare un mostro, il giornale inglese ha fatto marcia indietro: “ad analisi piu’ approfondita e’ risultato essere altro”.
A guardare (10 minuti) i files, quel file fa parte di una libreria scritta in ruby (e quindi ingombrante, poco stealth) per la quale non esiste un applicativo (in quel repo di github); probabile che fosse la libraria su cui appoggiare le interfacce personalizzate per i clienti, con cui poi i clienti si gestissero gli assets (es: evidenze giudiziarie) in autonomia. Tant’e’ che la libreria ha anche delle componenti crittografiche autonome (che potrebbero servire a cifrare le memorie in transito). E quindi e’ normale che ci sia una componente che gestisca file dal titolo pedoporno.avi hardcoded: se sto programmando un programma con cui la polizia deve gestire files criminosi, ed ho bisogno di un nome file solo per non mandare in errore il programma perche’ la variabile non e’ ancora inizializzata, mi viene semplicemente normale pensare che quel file potrebbe essere pedopornografia, terrorismo, satanismo o il numero di una carta di credito… che altro sequestra la polizia? I Puffi? E quindi appoggio li’ un nome di fantasia connesso ad una di queste cose.
Poi ci sono dei ‘core’ per i vari sistemi operativi: quelle potrebbero essere invece le sonde da mettere sui computer bersaglio, che permettono alla libreria ruby di spulciare il computer della vittima; ovvero di prelevare le evidenze ed inviarle cifrate al datacenter di HT, dove poi i clienti si spulciano il raccolto (in chiaro).
Infine (non) c’e’ il meccanismo di inoculamento delle sonde: bachi pre-esistenti, come ad esempio quello di taluni driver usb di linux, o uno dei tanti dei vari browser, o di Adobe Flash. Quindi basta puntare il browser di una persona su una paginetta apposita (Amico ad altro amico: “aoh, gua’ che figata!”, Reclame per lui: “Pisello lungo in 7 giorni”, Reclame per lei: “Culo di marmo e 30 kg in meno, in 3 giorni!”), oppure passargli una chiavetta USB appositamente preparata … per inoculare la sonda.
A me in questi 3 anni e’ capitato: “Passami le foto del matrimonio che hai fatto ieri” (da un famoso pseudo-hacker accompagnato da una avvenente signorina con cui si e’ sposato qui in spiaggia; ‘amico ad amico, via USB’), “Non leggo piu’ le foto sulla SD del cellulare, me la controlli col tuo” (questo invece e’ un ex-militare, e il suo compare poi ha iniziato a fare delle lunghe estenuanti telefonate appositamente per parlare dei cazzi degli altri; ‘compare a compare, via SD’), e “vuoi la mia musica?” (questo e’ un semplice cazzone; la sua chiavetta si e’ autodistrutta perche’, al contrario dei primi due, non si e’ accertato in precedenza di cosa stessi usando per accedervi). Tutte e tre da confermare; ma non son riuscito a farlo perche’ non appena ci provo succede qualcosa di strano… mi scompaiono i soldi dal conto in banca… gli HD che mando in Italia con vettori di fortuna (“arriva li’ e spedisci in forma anonima ad Avv. X”) non ci arrivano e anzi mi tornano indietro (“eh si scusa, non ho avuto tempo”)… etc… di tutto… pero’ il mio processo non lo celebrano.
10 luglio 2015 @ 22:26
Sulla copertura mediatica ho qualcosa da ridire… nel senso che gli scribani stanno introducendo una quantita’ ingestibile di ipotesi idiote. Ingestibile nel senso che chiaramente poi uno va a cercare di verificarle o confutarle, affidandosi agli elementi piu’ solidi della questione: il codice sorgente del software, e il timing.
Il software l’ho guardato 10 minuti e… al di la’ degli strumenti scelti, che tecnologicamente non mi sono mai piaciuti quindi avrei qualcosa da ridire… effettivamente e’ verosimile; occorrerebbe compilare, eseguire, e quindi vedere se effettivamente e’ cio’ che sembra. Ma non ho una sandbox per farlo e dovrei spendere troppo per produrmene una.
Sul timing avrei qualcosa da ridire; ci sono delle incongruenze; ma non posso essere certo che siano incongruenze fisiologiche.
10 luglio 2015 @ 22:54
Grazie per l’attuazione della memoria storica dei Grandi Saggi di Napolitano, il cui lavoro e’ stato spacciato in versioni diverse in base a chi caricava il pdf – motivo per cui a suo tempo ci lamentammo della possibilita’ introdotta da Adobe in Latex, di inserire url nei file PDF – ma che nella versione che ho ricevuto io includeva anche l’impegno di ‘impiegare le intercettazioni come mezzo di conferma dei reati e non come mezzo di ricerca dei reati’. Che tradotto dal legalese al computerese significa: niente sorveglianza di massa, ne’ captatori di stato (ad esclusione dei reati X, Y, Z; apprendo ora dalle mail su wikileaks).
Se non ci fossero informatici in parlamento, come e’ stato per 20 anni, questo non sarebbe accaduto; i buoni propositi si sono fermati sempre in aula per difetto di patrocinio.
Tuttavia, per quanto comprendo la tua intima necessita’ di difesa d’ufficio della tua persona, non rispondi alle sole due domande pubblicamente interessanti:
– Perchè la Polizia Postale si affidi ad una ditta che sembra stesse sviluppando un tool interno a RCS per poter mettete dei file compromettenti sulla macchina-target in barba a tutto il garantismo giudiziario delle leggi italiane (cito anche articolo del Fatto Quotidiano ) http://www.ilfattoquotidiano.it/2015/07/09/hacking-team-ora-chi-fornira-delle-risposte/1858601/
– Quali sono le garanzie sul fatto che lo Stato Italiano tramite l’AISI non faccia mass-sirveillance sui suoi cittadini al pari del scandalo Datagate successo negli Stati Uniti visto che i strumenti per farlo ce li aveva.
Le sue domande sono un po’ naif; gli mancano alcuni elementi, forse e’ giovane, forse non e’ un informatico, forse non e’ mai passato sotto il giogo.
Dunque alla prima domanda aggiungerei: ammesso e non concesso che quello che e’ accaduto a me e molti altri non accadra’ piu’, quali compensazioni sono previste per tutti coloro che sono stati privati dei propri diritti costituzionali e quindi spiati e manipolati arbitrariamente, nonche’ subiscono minacce quotidiane da sconosciuti che vedono in pericolo lo status quo e la propria posizione in esso? In altre parole: ho della gente che mi chiama vampiro, e qualcuno (altro?) che mi lascia paletti appuntiti davanti casa, che mi accusa di rubare soldi ai vecchietti e ai bambini, a suo padre, a sua madre, perfino a MIA madre, o ai figli che AVRA’… da parte dello stato stanno cercando aut di non celebrare i processi giudiziari che mi riguardano aut di celebrarli senza invalidare gli elementi raccolti (e quindi arrivare ad una situazione in cui l’erario deve potenzialmente rimborsare me e tutti i casi analoghi); quale misura di risarcimento hanno previsto i Grandi Saggi di Napolitano, e coloro che hanno perorato la causa in parlamento, per far si che questo cessi una volta per tutte, e possibilmente senza la mia morte?
Alla seconda domanda invece aggiungerei anche l’AISE dato che a me – falliti i tentativi via infrastruttura (ero in casa anglofona) – sono stato letteralmente costretto a cambiare abitazione, e da li’ taroccati i terminali 3 volte, da 3 italiani diversi. Al momento ho “solo”: un terminale taroccato in via di dismissione, qualcuno che si spaccia in Europa che invece e’ al piu’ ad un isolato da qui e mi parla tramite tecnologia web (ma credo entri via wifi; pero’ mi son rotto le palle di dover perdere tempo ad aprire router da 20 euro per trasformarli in nasse), e sessioni rtmp hijacked once (video flash artigianale inserito negli slot per l’ads, a scomparsa; che nel replay non c’e’).
Garanzie, non le promesse dei saggi, di Quintarelli, etc; ingegneria, non pugnette. Quali?
10 luglio 2015 @ 23:05
il punto e’ proprio la sicurezza di se’ (understatement), che corrisponde al tono di alcune delle email che ho visto e ad alcune persone che conosco.
I dati di progetto del JSF sono stati rubati dai server del pentagono assieme a svariati terabyte di dati (fonte WSJ), figuriamoci se una societa’ da 50 dipendenti (o da 5000, per quello che vale), per geniali che siano, possa avere i mezzi per difendersi da qualcuno che voglia veramente bucarli.
Con tanta fatica, con poca fatica (certo che rubare 400GB di dati deve avere richiesto un po’ di tempo, anche con un disco esterno ad alta velocita’ un po’ di ore vanno via.. come diavolo hanno fatto a non accorgersene?)
Nessuno e’ immune, nemmeno HT. Anzi, data la loro appetibilita’ come target, sopratutto HT.
Nel mondo della sicurezza vale la regola del pesticida: non occorre puntare a eliminare l’ infestante, ma solo a rendere il suo sforzo piu’ alto del vantaggio che spera di conseguire, e fare in modo che vada da un’ altra parte.
obiettivi piu’ elevati, ancorche’ nobili, sono irrealistici.
Sopratutto quando si parla di obiettivi strategici (i dati del joint strike fighter, ad esempio), o a target mirati (il disgruntled employee…). Quindi era inevitabile che succedesse.
La regola della vita e’ l’ insuccesso, non il successo.
il trucco e’ essere pronti a gestire l’ insuccesso, a gestire il successo sono buoni tutti.
Vediamo quanto saranno bravi a gestire la situazione.
11 luglio 2015 @ 11:42
E’ la stessa sicurezza di se che puoi osservare in tutta una serie di persone pre e post internet: markettari, venditori di fumo, pseudo religiosi, etc. Io lo osservo in tutti coloro che credono in Facebook. Sembra assurdo ‘Credere in Facebook’ ma scopri che ci credono veramente quando ti dicono che Facebook vale X miliardi, mentre tu (io, in questo caso) pensi che Facebook sia un buco da X miliardi.
Il modello di business di HT si poggia su questo discriminante: se Facebook vale X miliardi, allora HT ha davanti a se un futuro roseo ottenuto in un globo distopico dove tutti manipolano tutti gli altri, con tanta piu’ forza quanti sono i soldi che hanno nel portafogli. Perche’ si spendono fiumi di denaro a cantar di cio’ che tizio ha detto di caio per amor di mevia. Che e’ quello che abbiamo gia’; periodo meno, periodo piu’. Il bitteggio (‘carteggio via email’) tra quinta e vince e’ fulgido esempio di quel girone dell’inferno dove gli ignavi rotolano palle di fanga senza sosta, uno che spinge contro l’altro la stessa palla, in un inutile buca di keynes. Qualcuno la chiama Comunicazione; anche se sembra piu’ una partita di calcio. MFP III,51
Se invece Facebook e’ un buco da X miliardi, allora HT e’ meglio che vada verso la full disclosure e scompaia nell’oblio. E corra, e si metta i baffi, e le parrucche, e le zeppe nelle scarpe, e si faccia tagliare la gola da un medico bravo nei meandri di una bidonville haitiana per alterare l’accordatura della voce … perche’ esistono record pubblici, e oramai sparsi in giro per il mondo, di ogni loro elemento identificativo biologico: corri Forrest Team, corri!
Di buono c’e’, che abbiamo appena arruolato 50 nuovi legionari nella lotta tra i manipolatori di palle di fango (di cui sopra), e i debunkers dell’incoerenza tra cio’ che appare ai sensi e cio’ che invece e’ empirico, esplicabile, replicabile, prevedibile, e quindi scientifico. Tutto, tranne il comportamento umano. MFP XXX,38
P.s.: apprendo solo ora che, secondo le cronache, 12 milioni di profili, inclusivi di DNA, sono stati rubati al dipartimento del lavoro del governo federale americano (un acronimo che non ricordo; in pratica si occupano di fare un profondo background check a tutti i cittadini in modo da avere pronti i profili quando hanno bisogno di una determinata figura nella pubblica amministrazione). Furto che sembrerebbe essere stato compiuto da qualcuno in Cina: ‘Glazie dell’enolme e costoso lavolo di plofilazione fratello glande amelicano; ola conosciamo tutti gli uomini che impieghi e tutti quelli che impieghelai pel i plossimi 25 anni! GLANDE AMELICANO! Ci livediamo pel l’update peliodico’. Io non credo al furto…
12 luglio 2015 @ 01:50
“finche’ rivendi questi assets alla Polizia (in tutte le sue manifestazioni: polpost, stradale, agenzia governativa, etc) non e’ illegale.”
Questa affermazione NON e’ corretta. Se vendi alla Polizia qualcosa che SAI che verra’ utilizzata illegalmente dalle forze dell’ordine commetti un reato cosi’ come gli agenti e gli ufficiali delle forze dell’ordine che usano i tuoi prodotti.
Prendendo un caso estremo se esempio se vendi una sedia elettrica da usarsi per giustiziare le persone alla polizia e loro la usano per uccidere qualcuno (in Italia che la pena di morte e’ vietata) tu sei perseguibile tanto quanto loro.
Ed io sono abbastanza sicuro che loro sapevano che non tutti i loro prodotti venivano usati legalmente.
12 luglio 2015 @ 07:34
Quelle di Ghioni sono solo delle ipotesi.
Da quello che ho potuto vedere la mail più recente di Vincenzetti finita su Wikileaks è datata 3 luglio 2015 e il commit più recente su git repository apparentemente fatto da un dipendente HT è di 11 giorni fa, 1 luglio 2015 e riguardava l’aggiunta di compatibilità di RCS a Windows 10…
Questo significa che il tutto è stato fatto nel weekend scorso, tra il 4 ed il 6 di luglio, almeno… le utlime copie probabilmente incrementali. Se fosse stato premeditato da HT, si sarebbero presi la briga di copiare 420GB di tutto su un disco usb proprio pochi giorni prima? Quel weekend avrebbero fatto davvero una bella maratona. O era mesi che copiavano fuori incrementalmente e alla vigilia di annunciare l’hack a loro stessi si sono presi la briga di completare con le ultime mail, gli ultimi commit… strano…
E’ più verosimile che l’hacker gli entrava nella rete tutti i weekend, quando probabilmente in azienda non c’era nessuno, se poi HT ha la fibra copiare 420GB non porta poi via così molto, se hai un canale ADLS da 1Mbit o meno, capisco, ma… chissà cosa HT ha.
12 luglio 2015 @ 12:37
Ma quale 400gb… quale copia… quel software potrebbero averlo scritto 4 compagni di scuola/universita’, appoggiandosi su github (privato), e reso pubblico poi… e’ un segno di spunta nel pannello di configurazione del repo di github. Non ho clonato il repo in locale; il log di git e’ visibile gia’ online e non sembra tarocco (anche perche’, per taroccare quel complesso sistema di hashing… eheh… Linus e’ stato scrupoloso).
Di tutti questi fantageni ggiovani hacker ce ne saranno 4 in tutta italia che si son resi conto della contraddizione in termini di fare sicurezza nel cloud. E se non li hanno reclutati, li hanno messi al trattamento sanitario obbligatorio per toglierseli da torno.
Siamo al 12 luglio, 400.000MB*8/2Mb/60s/60m/24h=18 giorni … prima che qualcuno (senza risorse eccezionali, piu’ di 2mbit/s di downstream nell’adsl) finisca di scaricare il torrent; sempre che il seeder rimanga li’ per 18 giorni; 18 giorni che dal leak non sono ancora passati. Poi occorre tempo per scrutinare il raccolto. Aspetta, segui, e guarda che succede.
Non si puo’ dire che si siano autosputtanati; l’unica cosa certa e’ che l’unica cosa che hanno subito, al momento, e’ una Haka (NZ)… teatro: una mandria di gente che si lamenta dell’esistenza di questi strumenti (eccezionali), e di chi li scrive (hacker), invece di lamentarsi delle aziende che lucrano sulla vendita di prodotti fallati by design (ie: crackabili senza neanche la necessita’ di questi strumenti eccezionali).
Per questo sembra un auto-sputtanamento; sembra una farsa. E su questo siam tutti piu’ o meno d’accordo (con Ghioni; che a me, per inciso, non e’ mai stato simpatico… per quanto ne sappiamo lui e’ quello che faceva queste cose al giro precedente).
Vai in ferramenta e compra un rotolo di filo elettrico; poi taglialo in segmenti tutti uguali (2 di questi, 2 cm piu’ lunghi); poi prendi i due piu’ lunghi, e usali per collegare una batteria con una lampadina; poi staccali, taglia le estremita’ di 1 cm, in modo da renderli uguali agli altri, e mettili insieme agli altri in una scatola. Poi porta la scatola all’Onnipotente Ris di Parma e chiedigli di identificare quali di quei fili sono stati impiegati per uccidere una persona trasportando corrente tra una batteria ed una motosega elettrica. Non possono.
Non rimane traccia del passaggio di corrente; in al piu’ pochi secondi da quando stacchi la corrente anche il campo magnetico e’ andato. E cosi’ non ne rimane neanche nei miliardi di ‘fili’ che compongono un computer (ie: tutto cio’ che non e’ magnetico).
Analogamente, secondo te, un pedofilo (o un rapinatore di banche), si tiene un archivio di tutte le sue malefatte sul computer, oppure si affitta una casa con finestra a vista del parco giochi per bambini? La crittografia serve alle persone normali, non ai criminali. I criminali hanno strumenti molto piu’ efficienti; non hanno bisogno di comunicare in modo efficiente… perche’ SPARANO. Se io fossi un pedofilo, non terrei LE PROVE delle mie malefatte, sul mio computer; neanche crittografate; non le produrrei proprio. E se ne becchi uno che lo fa… probabilmente non e’ uno pericoloso. E anche la polizia e’ altrettanto pericolosa; non gli servono quegli strumenti. La polizia butta giu’ la porta e sequestra il computer; se serve, spara.
E’ semplicemente assurdo che qualcuno commissioni o realizzi uno strumento del genere. Sono fantasie adolescenziali; desideri di investigatori psicopatici. Una volta che hai estratto un file pedoporno dal computer di qualcuno che fai? Lo rimetti a posto per farlo vedere ad un magistrato? Come fa il magistrato a sapere, oltre ogni ragionevole dubbio, che non ce lo hai messo tu? Cioe’, tu vieni chiamato ad abusare della vita di un uomo, mandandolo in galera con una delle accuse peggiori che possa avere in capo, e lo mandi in galera sulla base del fatto che Vincenzetti gli dice che aveva 10.000 foto pedopornografiche sul computer?
L’unico reato veramente tassabile che puo’ essere effettuato con un computer, e’ il furto di denaro; ma le prove che trovi sul computer sono anche li’ solo di natura indiziaria. Riesci ad incastrarli perche’ gli trovi a casa le carte di credito, addosso gli occhiali Gucci ordinati da Amazon con quelle carte, ed in garage la Ferrari.
E’ piu’ facile che sia roba impiegata per sputtanare politici in campagna elettorale e creare mostri con gente come me che sputtana la narrativa dei ghostwriter di Montecitorio… quella che hai visto in questi anni, fatta di sondaggi, provini per trovare facce fresche da sbattere in telecamera alla tornata successiva, daje all’untore di turno (il negro, il cinese, l’hacker, il frocio, il pedofilo, il broker finanziario, etc)… creare mostri, possibilmente avvalorando l’On. Carlucci (‘le auguro che i suoi figli incontrino un pedofilo’, auguro’ a voce viva ad Alessandro Gilioli de L’Espresso perche’ questo le faceva notare che le sue erano fantasie), quindi prendi uno qualunque che rompe le scatole, gli cuci addosso il vestito da pedofilo che giustifica la tua politica, ripeti per qualche migliaio di volte (mille piccioni con una fava) ed ottieni Renzi. E’ strano perfino che quelli del M5S stiano li’… non credi? E’ piu’ probabile che facciano parte della narrativa, non credi?
12 luglio 2015 @ 13:38
A parte che … alla polizia devi garantire un minimo di beneficio del dubbio quando li trovi a trasportare uranio o una qualsiasi altra cosa anomala … semplicemente perche’ sono le persone preposte all’uopo. Loro maneggiano la fanga che non e’ dato a te maneggiare; tutta, di ogni tipo, puzza, e colore. Hai idea di quanti medici ricevono quotidianamente le foto della figa di bambine, dai genitori delle bambine, perche’ i genitori vedono un’irritazione o delle bolle? Che fai, li arresti per pedopornografia? O magari vai impastrocchiando un altro po’ la legge sulla privacy per includere anche questo caso – insieme a quello del tizio indagato perche’ fotografava i propri figli in piscina, prendendo nell’obiettivo, inevitabilmente, anche i figli degli altri – tra le eccezioni dei dispositivi di sicurezza?
Sono tutte cose che chiaramente potrebbero essere usate per scopi illeciti e illegittimi; come e’ anche per il coltello che hai usato l’ultima volta che ti sei seduto a tavola. Pero’ te lo hanno venduto lo stesso. Perche’ per HT dovrebbe essere diverso?
Io posso scegliere deliberatamente di non vendere coltelli da cucina; ma non puo’ esistere una legge che mi vieta di farlo.
La legge in questione puo’ certamente vietare di vendere coltelli a serramanico, pugnalatori, etc; ma non coltelli da cucina. E anche vietando quel mercato di nicchia (di coltelli da combattimento), ci sara’ sempre e comunque abbondanza di coltelli da ampiegare per uccidere le persone… se non confezionati da una pressa industriale, fatti in casa sovrapponendo fogli di alluminio per incartare le verdure, pressati usando la porta della stanza, e limati strusciando il risultato su una pietra in giardino.
Ripeto: state indagando nella direzione sbagliata. Chiedetevi piuttosto perche’ il vostro smartphone non ha un LED di sicurezza affianco alla telecamera. E un interruttore, o un otturatore meccanico, per disabilitarla (e proteggerla dalla sporcizia).
Ma ti bastava arrivare al capoverso successivo a quello che hai riportato: “I decreti antiterrorismo, antipedopornografia, antipirateria, etc; sono stati fatti proprio per legalizzare queste attivita’”.
Guarda l’attuale testo della legge sulla privacy e ti rendi conto da solo di quante volte e’ stata manipolata per consentire questa o quella attivita’ (Di Sikurezza); la stessa cosa e’ accaduta in US con il Patriot Act/Freedom Act, e negli altri paesi in modo analogo… anche in alcuni di quelli che vedi nelle infografiche… io ti sto scrivendo da uno di quelli.
12 luglio 2015 @ 19:08
Roba vecchia, appunto, dicevo: https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/
L’articolo e’ datato 17 febbraio 2014, e descrive perfino tutti i file doc (con tanto di hash) impiegati come inoculatori, gli indirizzi IP su cui questi file si appoggiano per contattare casa e iniziare le operazioni, etc.
Ogni volta che vedo queste robe mi flashano in testa tutte le volte che qualcuno ha detto: “L’autoplay di Windows 3.1 per i CD e’ un trojan!”, “Gli URI nei PDF sono trojan!”, “RSS e’ un trojan!”, “VBscript nei .doc e’ un trojan!”, “Il GSM e’ un trojan!”, “Le email in chiaro sono un trojan!”, “WindowsGeniunePushUpdate e’ un trojan!”. E ogni volta nessuno lo ha ascoltato.
14 luglio 2015 @ 14:45
mah… HT usava SW che sfrutta zero day.
non aveva il copyright sugli zero day, e quando qualcuno all’ interno menzionava il whitelisting come minaccia per galileo nessuno ha pensato che il whitelisting avrebbe difeso l’ azienda oltre che ostacolarla.
Il dual use si applicava anche alle tecnologie difensive nemiche, ma la menzione ha ricevuto spallucce.
Altre mail parlano di sistemi anti APT, ma l’ azienda usava con fiducia sistemi “next generation” sostanzialmente inutili per fermare le tecnologie di RCS (e che decine di migliaia di criminali usano).
Secondo me non occorre scomodare scenari complicati, quello del rasoio di occasm e’ sempre un criterio da seguire.
Semplicemente qualcuno non era in rapporti di grande stima a/ amicizia con la societa’ e i suoi capi (a sentire in giro sono pochi quelli che si disperano per l’ incidente), e ha usato le stesse tecniche di HT non per spiarla ma per craccarla.
dopo di che secondo me le cose veramente delicate non sono nei .pst indicizzati da wikileaks, disponibili ai sysadm: rischio che vince sapeva benissimo che andava evitato.
ma questo e’ un altro discorso.
14 luglio 2015 @ 19:55
Appunto, l’intera vicenda e’ bollabile come ‘defacement puro’. ‘Revenge porno’ per giornalisti; che purtroppo un’occhiata devono dargliela. Mi sembra piu’ AISI/AISE/EuroGendFor/NATO/UN, o semplicemente Telecom, che tirano lo sciacquone per liberarsi di persone che poco centrano con i pastrocchi veri.
Non trovo interesse nella tecnologia HT di per se; e’ solo IP; molti paesi si sono dotati di trojan di stato lato ‘Personal Computer’. Ma sotto IP c’e’ ATM, c’e’ GSM, i protocolli specifici per la fibra; e sopra ci sono i ‘big data’; i sistemi analitici delle banche, dei sistemi di frontiera … c’e’ tanto. Quelli sarebbero stati interessanti da osservare. Invece rimangono in mano ad attori privati che li usano a proprio uso e consumo. E le competenze delle agenzie governative (che invece ad ATM hanno accesso), rimangono troppo estese e fuori controllo.
Brutta faccenda.
15 luglio 2015 @ 14:59
Ohhhhh… vedi a che servono i tecnici giornalisti?
“Loro sono stati davvero lasciati soli dallo Stato e, oggi, la storia lo racconta in modo inequivoco. Che qualcosa di solo lontanamente simile – giacché Biagi e Falcone hanno perso la vita mentre la Hacking Team ha rischiato solo dei quattrini – sia avvenuto alla società milanese, regina dei software spia e, invece, tutto da provare e sembra, al contrario, smentito dai fatti che, al contrario, raccontano di uno Stato, forse, fin troppo, pericolosamente, vicino alla Hacking Team.” ( http://www.ilfattoquotidiano.it/2015/07/15/hacking-team-vittime-o-carnefici-le-mail-del-ceo-che-si-sente-solo-come-falcone-e-marco-biagi/1875396/ )
Quando loro ‘tecnici prestati al giornalismo’ spulciano le mail, lo fanno con un occhio clinico che non e’ quello dello ‘scienziato molle’; de ‘Istituto Vaticano per le Scienze Religiose” (che compare tra le 65 fondazioni opache nei bilanci che hanno ricevuto finanziamenti pubblici, per sottrarli alla giusta distribuzione); dello psicologo comportamentista; della sociologgia con due g. Meno piacevole magari; Umberto Eco sicuramente scrive e soprattutto descrive, meglio; suscita, meglio, le emozioni. Ma piu’ concreto.
Ovvero: gente con laurea in giurisprudenza, ma che fa il giornalista. Non laurea in giornalettismo che parla di giurisprudenza (o una qualunque altra cosa); ora ci vuole un Travaglio – un giornalista specializzato in vicende giudiziarie, che sa teatrare – che, presa interpretazione giuridica divulgata giornalisticamente, approfondisce per telefono e con riunione, visionando le eventuali evidenze, e facendone quindi un editoriale da laurea ad honorem del giornalismo moderno.
Se ha delle remore etico-professionali sugli aspetti meno chiari a lui della sfera parallela laica (ie: non informatico), lo autorizzo ad impiegare pubblicamente il mio pseudonimo come sua fonte riservata; e sono naturalmente pronto a difendere le questioni piu’ strettamente tecnologiche, in tribunale, qualora qualcuno dovesse contestargliele; ovviamente, anche li’, in atti giudiziari anonimizzati.
Non ho idea di come fare a verificare la redazione e la pubblicazione dell’editoriale senza chiuderci in un bunker… ne’ ho attrezzatura proprietaria… ma ci si puo’ lavorare sopra.
Noi informatici – numero piu’ esiguo, e tasche meno gonfie, dei giuristi – ci siam dovuti spippolare TUTTI, giuristi, guardie (!) e ladri (!!), compresi; mentre chiacchieravano di computer ed Internette in modo del tutto analogo al Conte Uguccione (MaiDireGol). Informatici Vs Mondo. A sproposito. Coi pizzini e col blogg (due g pure qua; una per log e una per google). Per il Proprio Merkato: del giornalismo; della psicologia; della giurisprudenza; della droga; della guardia; di tutti i mercanti, e i soldati, e i laici, che OSANO profanare i templi.
E che cojoni! Nota: “cojoni” non esiste nel dizionario; ho cercato su TorpiLoquendo.Com ma non c’era; e Loquendo e’ azienda leader eh! E’ la Treccani delle tecnologie linguistiche; la Torpieccani! Quindi “cojoni” e’ mera licenza poetica ad libidum meum, de Patacchis; “Pico De Patacchinis” per gli amici, Pico, Fratello Pico Patacconis… mmm… devo lavorarci un po’ sopra… Macchina Frulla Parole mi piaceva tanto… ma in latino direi Mira Factum Patacconis.
Io, personalmente, per quanto disdicevole, amorale, possa sembrare, non credo che la produzione e l’export di quegli strumenti sia un male; anzi, credo sia un bene. Che a tenere quegli strumenti in mano sia una parte sola (ie: produttori), non e’ un bene. E’ anzi il modo sbagliato di investire in sicurezza. Dopo 50 anni, ne abbiamo ampiamente la dimostrazione sotto gli occhi. Qualcuno, ahime’, sulla propria pelle e, o, sulla propria mente.
Tutti quei denari dovrebbero essere investiti nel produrre e manutenere, strumenti sicuri; esattamente come facciamo con le pistole, le droghe (spezie secche e medicine), e le automobili. Tant’e’ che in tutte le giurisdizioni le pistole (e le droghe, e i mezzi di locomozione), una volta accertata la loro dannata esistenza, sono sempre state distribuite: stato e gente, in america; difesa e interni, in Italia. E cosi’ anche negli altri paesi piu’ o meno democraticamente stabili; che la mafia si chiamasse nobilta’ (come nelle monarchie), o criminalita’ (come nelle democrazie). In questo, qui, termina, la metafora che pone sullo stesso piano le armi fatte per uccidere, e quelle fatte per esaltare la ragione e le emozioni umane, oltre i confini corporei; esaltare la nostra immaginazione tutta. Sacra, ludica, o bieca che sia.
Non importa che sia l’ombra delle mani, proiettata da una candela sul muro di uno scantinato, dove ci si rifuggia quando cadono le bombe e i bambini piangono; o un complesso sistema elettromeccanico chiamato computer. E non importa quali leggi facciano; finche’ non impediscono agli individui di mettersi in sicurezza da soli.
L’immaginazione sara’ sempre dual use.
La paranoia sara’ sempre dual use.
Esattamente come le mani.
E il cazzo. Nota2: qui casca l’asino. Tu censore, pensi di aver visto il Torpiloquendo di un Hacker. Invece no, non l’hai visto: guardami, guardami, guardami… non ti distrarreeee con le cazzateeeee… guardami, guardami, guardami… chiudi gli occhi… non ti distrarre… pensa alla mamma… tienili chiusiiiii… braaaaaavo… al liquido amniotico… non ti preoccupare, ti tengo iooooo, non cadiiiii… non ti distrarreeeeeee… pensa alle particelle di sodio del liquido amnioticoooooo… metti il ciakra, tira fuori il cin…. tranquillo-non-sono-un-istruttore-di-yoga-non-ti-trombo-mentre-meditiiiiiii… metti la cera, togli la ceraaaaaa… dimentica tuttoooooo, inabissa il doloreeeeee… dentro di te ciakra e cin sono la stessa cosa, inspiri potenza, espiri VitaminaD per tutti, Heal the Woooooooold, make it a better plaaaaaceeeee… si, bravo… stai facendo bene a te ed al mondo, senza muovere neanche un muscolo nell’orbitale destro… ciakra-cin, ciakra-cin… incensa… incensa… e-non-aver-paura-del-cazzooooo… DDoRMI (col “do” di petto e la voce di Giucas Casella)!
15 luglio 2015 @ 17:24
A proposito di dual-use, e timeline pastrocchiate. Qua dice che il regolamento europeo del 2009 sul dual-use, e poi modificato nel 2011, e’ stato recepito dall’Italia nel 2003. I giudici costituzionali in questo genere di contorsionismi (1/2014) sono stati piu’ eleganti (ie: una sola ratio diabolica, empiricamente riscontrabile, e su quello hanno costruito tuttta la sentenza).
“L’esportazione dei beni e delle tecnologie duali è disciplinata da una varietà di norme, criteri e procedure applicative che rispondono alle esigenze di sicurezza nazionale ed internazionale, come segue:
Reg. (CE) 428/09 e successivamente modificato dal Reg. (UE) 388/12, il quale istituisce un regime comunitario di controllo delle esportazioni di prodotti e tecnologie a duplice uso che figurano nell’All. I.
In Italia le disposizioni del Reg. 428/09 sono state recepite con il D.L. n. 96 del 09/04/2003 ancora vigente. L’elenco dell’Allegato I rappresenta la sommatoria delle scelte operate dai seguenti regimi internazionali di controllo:
WASSENAR ARRANGEMENT (settore alta tecnologia)
Gruppo MTCR (settore dei prodotti missilistici)
Gruppo NSG (settore nucleare)
Gruppo Australia (settore chimico biologico)”
( http://www.sviluppoeconomico.gov.it/index.php/it/commercio-internazionale/import-export/dual-use )
Ahaahhaahaaahha… ma chi li scrive ‘sti siti? IBM WebSphere che gira sopra il D-Wave a causa di esternalita’ contrattuali di Italia.it?
E chi scrive ‘sti regolamenti! Quando facevo le bombe, se Bricofer non aveva l’acido muriatico per le mattonelle, semplicemente usavo il limone ed invece di attendere 12 ore, ne attendevo 48… ma alla fine sempre i miei cristalli esplosivi ottenevo. Oltretutto profumavano di fresco limone di Sicilia, invece di profumare di cloro-piscina-ospedale-bleah. E comunque non ho mai distrutto alcunche’, per motivi che poco centrano, e poco centravano, con le leggi di proibizione; se all’epoca mi avessi detto ‘Wassenar’ t’avrei mandato a quel paese pensando che mi stavi sbeffeggiando in tedesco.
C’e’ il limone nei regolamenti sull’import-export di ‘tecnologia dual-use’? Se non c’e’ occorre mettercelo! E avviare campagna europea di sensibilizzazione contro i limoni. Potremmo iniziare a spargere la voce ogni qual volta qualcuno attorno a noi ordina un margarita: ti avvicini e gli dici ‘Non lo sai che il limone uccide? E’ piu’ tossico del latte!’. Che essendo frase mezza-vera e mezza-falsa, permette almeno 6 anni di trasmissioni televisive d’approfondimento, dibattito, e confusione mentale, fino a che cioe’ saranno gia’ scomparsi tutti i limoni, cioe’ si renderanno conto che il proibizionismo dei limoni e’ gia’ in essere.
Faremo, dei limoni, la seconda pianta piu’ proibita del pianeta.
Saluti
15 luglio 2015 @ 19:07
Altro altarino. No Ghioni, qua toppi, non e’ un’arma.
– Europei: “Regolamento del consiglio n. 1236/2005 relativo al commercio di determinate merci che potrebbero essere utilizzate per la pena di morte, per la tortura o per altri trattamenti o pene crudeli, inumani o degradanti”. ( http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2005R1236:20060730:IT:PDF )
– Berluschini, Leghisti e Nazionalisti: “DECRETO LEGISLATIVO 9 aprile 2003, n. 96 Attuazione di talune disposizioni del regolamento (CE) n. 1334/2000 che istituisce un regime comunitario di controllo delle esportazioni di prodotti e tecnologie a duplice uso, nonche’ dell’assistenza tecnica destinata a fini militari” ( http://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2003;096 )
La pena di morte (e il resto della roba hardcore) e’ scomparsa, ed e’ cicciata fuori l’assistenza tecnica. E infatti:
– Europei: visti i diritti umani, vista la dichiarazione universale dei diritti dell’uomo, etc.
– Berluschini, Leghisti e Nazionalisti: visto che io so’ io e voi non siete … Alberto Sordi. (una sequela infinita di riferimenti a normativa interna)
ALLORA
– Europei: definizioni, “CAPO I, art. 2, lettera f) «assistenza tecnica»: qualsiasi ausilio tecnico connesso a […] mezzi elettronici”;
– Berluschini, Leghisti e Nazionalisti: connetto direttamente tutto quello che c’e’ tra le orecchie e la bocca di Gasparri, ad altri buchi eventualmente esistenti tra la cinta e il ginocchio, se non ci sono ce li scavo con la Terza Gamba Sacra di Gentiloni, e con essi poi ci attacco la Kamchakta passando per il Libano, tanto c’ho l’anticorpi con i controcorpirotantisempresottolacintamasolonegliindividuimaschi quindi non mi ammalo di sindrome cinese, ottenendo dunque le seguenti definizioni “art. 1, lettera c) per «beni a duplice uso» si intendono i prodotti, inclusi il software”. Ole’. Frittata con i carciofi alla giudea avanzati da pranzo. E gia’ che ci sto, rincaro la dose con la lettera d ed e; cosi’ la legge e’ piu’ maschia. E poi la parola ‘software’ fa figo.
Ovvero, ‘l’ausilio’, ovvero chi o cosa aiuta, cioe’ coadiuva, diventa … ‘il software’. Che, indipendentemente da come lo definisci (es: ‘parte dei mezzi elettronici’) – e li’, quoque li’ tra le definizioni, non e’ definito – non e’ componente ausiliare.
Perche’ il software non puo’ essere IMPLICITAMENTE d’aiuto ad alcunche’, ne’ sottoforma di sequenza binaria (se esiste) del piccolissimo microcontrollore di una bomba nucleare (o sonda eseguibile come quelle del software di HT), ne’ sottoforma di ingombrante codice umanamente leggibile installato nella potente postazione di controllo (o libreria ruby impiegata da HT per gestire le sonde da remoto).
Perche’: quando e’ altamente sintetico, e’ altamente specializzato per uno e un solo microcontrollore o famiglia di; implica cioe’ che per installarlo su una bomba nucleare l’intera bomba dell’importatore deve essere identica con quella dell’esportatore. O semplicemente non funziona; e’ come prendere il firmware di un Apple (chip Ax, famiglia ARM) e montarlo altrove (chip Atom, famiglia x86). E cioe’ che gli hanno venduto l’intera bomba; o quantomeno l’elettronica; o quantomeno gli schemi dell’elettronica; il che rientra gia’ nelle altre definizioni, basta guardare alla voce ‘bombe nucleari’; e’ la parte di quei testi che salta agli occhi, alle orecchie, alla bocca, e a tutto il resto… salta molto. E risalta pure. A meno che o sei cieco (e quindi scusato dalla sfiga che la vita ti ha dato) o, appunto, fai la Manovra di Connessione Bocca-Cintasottomasemprebucotalvoltadueecomunquesoprailginocchio di cui sopra. Quindi, fatta la manovra omogenizzata di cui sopra, scrivi ‘software’; e applichi ‘software’.
Quando invece non e’ un codicillo piiiiiiiicolo, ed e’ quindi altamente voluminoso, oltre alle considerazioni precedenti (ie: non gira), diventa ancora piu’ difficilmente trasportabile: e’ tutto piu’ grosso. E’ come cioe’, se invece di infilarsi un chip 2x2cm in quel famoso buco di cui sopra e correre dal Kattivo di turno per donargli il segreto dell’atomo tirandolo fuori con grande sforzo da la bouche d’Hercule (stesso buco di cui sopra, ma con francesismo per esigenze di stile); occorresse infilarci tutta la centrale nucleare… che finche’ e’ il missile… forse la testata… quando sei alla frontiera a domanda rispondi: ‘giorno, cosa porta?’, ‘giorno, balene’, ‘controlliamoooo?’, ‘e poi se Moby si ammala chi lo dice al Capitano? Eh? Glielo dice lei? Gia’ e’ stressata per il viaggio, senza acqua corrente, senza luce stabile, senza le casse dei bigodini e i bidoni di smalto per le unghie! Ci si mette pure lei!? Eh!? Eh!?’. Ma l’intera centrale… macche’: non credo che esistano animali abbastanza grandi in natura; e credo che anche le balene rientrino in trasporti speciali, per vari ovvi motivi che non sto qui a descrivere ma che, almeno in parte, storicamente fanno incazzare molto i giapponesi.
In questo momento mi sento molto come Bozzetto, Bruno, quando fece quella serie animata sulla differenza tra italiani e gli altri europei ( https://www.youtube.com/watch?v=XkInkNMpI1Q ).
15 luglio 2015 @ 19:32
Ora ho capito perche’ non riesco a trovare del buon basilico italiano qui all’estero. Solo quello mentolato che sta una favola in alcuni cocktail ma io non bevo superalcolici.
In compenso non posso farmi un piatto di pasta all’italiana: il pomodoro e’ acido, puo’ essere cioe’ usato (al posto del limone) per smacchiare e catalizzare talune reazioni chimiche che portano a taluni esplosivi; la mozzarella e’ surgelata per regolamentazione del trasporto internazionale di merci fresche; e il basilico perche’ contiene piccole quantita’ di veleno che se estratto puo’ uccidere.
E’ perche’ in Italia abbiamo reso illegale il software invece di rendere illegale chi lo usa male; dove “male” e’ definito gia’ nel titolo, e dettagliato nel corpo delle leggi. E poi abbiamo insistito pure!
Infatti nel (CE) 428/2009 e nel (UE) 1232/2011 (notare il Trattato di Lisbona: CE prima del 2009, UE dopo i meccanismi attuativi di gennaio 2011), tra i virus dei funghi porcini e stadi missilistici assortiti, il povero D.G. Avv. Teti ha dovuto prima dire (circolare 79931/12) e poi (ribadire 79932/12) che tutto tranne il suo iPhone e’ illegale, quindi, mi raccomando le autorizzazioni dai coltivatori di limoni (acido), pomodori (acido) e basilico (veleno)!
Che bel pastrocchio quelli di HT… essi’… sono proprio dei maVVamaldi… invece chi quel software lo usa, no; oltretutto non lo esporta; lo usa e basta.
15 luglio 2015 @ 21:40
https://wikileaks.org/hackingteam/emails/emailid/179456
https://wikileaks.org/hackingteam/emails/emailid/158747
Giochino molto divertente. Sembrano i libri-game che vendevano quando ero piccolo. In sostanza:
– c’e’ Vincenzetti, CEO di una societa’ che cell’ha con gli attivisti (perche’ chiaramente se chiedi privacy lui perde il core business), quindi ha il movente (fictio, e dichiarato) per abusare del suo software per martoriare gli attivisti. La famosa ‘leva commerciale’. Sembra la mia ex-ragazza; che ha denunciato me per tapparmi la bocca sui suoi atti corruttivi, perche’ era preoccupata per la propria carriera.
Io sono attivista, ma fortunatamente do’ per scontate le attivita’ di HT (diverso se fossero armi); mentre invece reputo criminali quelle dei loro clienti, cosi’ come l’impiego di quel software da parte di HT stessa: magari per sfottere e far uscire di senno gli attivisti… lui grida ‘pool’… e i caramba sparano, e infine i medici acchiappano se i caramba fanno cilecca; o il contrario: prima i medici, poi i caramba; l’importante e’ che non ci siano competitor. Neanche giovani astri nascenti nelle universita’… cavolo… Vincenzetti dalle foto sembra giovane e abbronzato… non gli vorrai mica togliere la sessione di lampade del lunedi’, e le vacanze di Natale ai tropici! Vuoi mettere lavorare con l’iPhone succhiando un cocchino fresco?
Tant’e’ che il tizio non sembra curarsi d’altro; a me (o ad un qualche altro attivista a cui potrebbe aver imputtanato la vita) non ha mai chiesto se le sue attivita’ stanno bene: e’ un imprenditore, l’importante sono i clienti, i tempi, i contratti binding, i soldi. Che nasconde dietro il solito managgerismo da baracconaro: “noi siamo valore per l’italia” (che ti paga con valuta corrente, universale; una volta pagato non sei niente), e “l’importante e’ la sicurezza nazionale” (nazionale, o delle tue tasche? E a quale prezzo?).
Alla fine, messo alle strette, decide di mettersi in ginocchio davanti a tutti i clienti conosciuti dal 2004 in poi, alcuni dei quali hanno fatto carriera nella PA arrivando ad essere nel governo, sperando che questi parlando chi a destra, chi a manca, dispongano i cambiamenti legislativi, facciano pressioni, etc, che gli consentano di continuare il suo business. E la cosa finisce con il MISE che disapplica la disciplina e HT puo’ continuare; per lo meno, guarda caso, fino a giugno.
Era abbastanza ovvio: fornire soluzioni di tecnocontrollo alla PA tra il 2004 e il 2015 implica aver incontrato tutto l’establishment pre-esistente. Quando dice che manda una mail a tutti i loro clienti, dice che ha mandato una mail anche a Riina e Renzi, con la attenta supervisione di Berlusconi, D’Alema e Bossi.
– c’e’ l’Avv. Teti, direttore generale del MISE, l’organo cioe’ che rilascia le autorizzazioni all’export di materiale definito illegale piu’ volte negli ultimi 60 anni, che promettera’ (a detta del CEO, che parla ai suoi soci) di perorare la causa di HT all’interno del consiglio giudicante del MISE. L’avvocato del MISE, sa’ gia’ che l’export di quei software e’ illegale; cosa ha promesso? E in cambio di cosa?
– c’e’ un non precisato generale che, ascoltato il CEO preoccupato, parla con l’Avv. del MISE, prima che questo riceva le richieste di chiarimenti da HT. Identita’ del generale, non l’ho trovata. Ma l’identita’ non e’ molto importante senza i contenuti delle telefonate. I Carabinieri, e in generale le forze di sicurezza, piu’ potere hanno, piu’ svolgono il loro compito. Ma a me carabiniere italiano, che mi importa se Vincenzetti esporta o meno? Basta che l’intelligence ce l’abbia io! E poi: se non ho altri motivi, se dagli affari di Vincenzetti non ne beneficio in prima persona, mi interessa di piu’ parlare con un informatico… sapere dai miei uomini esperti cosa possiamo fare… non assicurarmi che Vincenzetti fatturi! Che abbia piu’ soldi da distribuire. A meno che io non faccia servizio anche in quei paesi, magari a tutela delle attivita’ commerciali li’… i cittadini italiani al lavoro o in vacanza li’…
– In alcuni passaggi poi, sembra che il software sia stato gia’ esportato. Sono ancora senza autorizzazione ma il software e’ gia’ in Messico e altrove. Occorre solo attivarlo a pagamento della fattura. O basta crackarlo. Per renderlo anche funzionante.
Ma e’ un software talmente banale che si fa prima a riscriverlo che a crackarlo, o a comprarlo; per lo meno quello visto su github… tant’e’ che qualcuno ha pensato si trattasse solo di un software dimostrativo… che, tra le altre cose, non e’ illegale esportare (il software dimostrativo e’ nelle esclusioni dei decreti europei 2009 o 2011; e’ come una pistola vera, ma senza munizioni, percussore, e con la canna piombata; per lo meno cosi’ ha ritenuto il legislatore europeo… quello che il software e’ una cosa indefinita che coadiuva il virus dei funghi porcini).
– Ci sono poi tutta una serie di messaggi – ma qui andiamo a cavallo tra steganografia e metafisica – che cicciano fuori giocando con codifiche alternative. In alcuni passaggi sembra che parlino di persone piuttosto che di tecnologie; Carabinieri invece di aziende; esecuzioni capitali invece di licenziamenti; etc. Lo si capisce dal fatto che impieghino degli acronimi forzati; analoghi ma non identici a quelli corretti.
Le email riformattate per incolonnare le parole possono essere, infine, una cattiva impaginazione dell’editore (wikileaks), di qualcuno tra la fonte e l’editore, un pad con cui cifrare comunicazioni successive, o messaggi cifrati da decifrare secondo schemi prestabiliti. Occorrerebbe macinarli un po’ a macchina per vedere se esce fuori qualcosa di intellegibile; ad occhio… mi ci perdo; e non ho una macchina adeguata.
16 luglio 2015 @ 14:49
Pour parler, in una serata tra gli amici dell’XPUG Romagna abbiam fatto uno script che inserendo commit fittizi con date fittizie permette di “disegnare” nella timeline di github, senza dover fare commit per mesi ma semplicemente simulando che siano avvenuti mesi fa:
https://github.com/giorrrgio/cazzhub
Questo per commentare solamente che Linus, seppur scrupoloso, se ne fregava di assegnare “data certa” ad una sequenza di operazioni di un repository e GIT non garantisce nulla in tal senso. Anzi, l’architettura distribuita alla base di GIT rende molto semplice creare artificialmente dati “falsificati” rispetto agli altri CVS.
16 luglio 2015 @ 22:52
Bagnara, ‘scrupoloso’ era una semplice battuta; nel senso che quando un sistema e’ distribuito la sua falsificazione e’ piu’ impegnativa di un sistema centralizzato semplicemente perche’ sono di piu’ le persone da ammazzare per assicurarsi che nessuno parli di falsificazione. Ma e’ chiaro che di per se la distribuzione non e’ garanzia; tant’e’ che voi avete creato la proof-of-concept; e io non partecipo a github perche’ ho rilevato analoghe manipolazioni sistemiche in passato. In realta’ non partecipo proprio perche’ da 10 anni non ho terminali puliti (ie: senza Intel AMT, senza Apple Firmware, senza preloader del bootloader, etc); che pedofilizzino i bambini, io l’ho preso gia’ abbastanza.
La mia e’ una valutazione superficiale (’10 minuti’, precedentemente dichiarati); una cosa tipo: ‘dato che ci sono piu’ di 1 contributore, il sistema e’ abbastanza caotico da essere integro entro e solo tempo epsilon’. Perche’ chi vuole falsificarlo ha bisogno di epsilon+x tempo per realizzare ‘cazzhub’. Dopodiche’ ho scelto un epsilon tale che ‘il repo non sembra tarocco’.
Ripeto, tutta questa storia e’ l’ennesima farsa per il popolino; si spera che sia a chiusura della stagione Franzoni-HT. Che sia l’ultima storia.
Sistemicamente parlando, possiamo infilare crittografia ovunque, fino a richiedere 10-100 bit di overhead per ogni bit di payload, ma avremmo comunque un qualche operatore che mente, un qualche professionista che si sbaglia, un qualche utente che non capisce le procedure.
E non riusciamo a scardinare l’idea che le agenzie governative DEBBANO poter controllare le comunicazioni, quindi non possiamo lasciare a tutti ed ognuno la possibilita’ di impiegare la crittografia per tutelarsi da solo; quindi nemmeno ‘individualmente parlando’ e’ possibile mettersi in sicurezza.
Finiremo come nel paese dove sono ora: tutti marchiati con un numero identificativo unico, come il bestiame, perche’ non siamo dignitoso di nostro, senza il controllore (manager, guardia carceraria, badante, etc) che ci tiene una pistola puntata alla tempia. Quindi invece di usare numeri identificativi multipli in base al contesto, useremo un numero solo in barba alla privacy.
31 luglio 2015 @ 09:34
Quintarelli.. (appositamente non la chiamerò mai piu’ “onorevole”, perchè dopo aver letto il suo scambio di mail con “vince”, lei ha perso, per me, tutta la sua onorabilità), lei con Vincenzetti si è scambiato molte mail, le ho lette su wikileaks..comprese quelle dove lei chiedeva a “vince” cosa dover inserire nei disegni di legge in materia di indagini informatiche etc. etc.
Ecco il link se non ricorda di cosa parlo https://wikileaks.org/hackingteam/emails/emailid/171992
Mi raccomando, cestini il mio commento, nella migliore tradizione dei politici italiani 😉
cit.
“On Apr 13, 2015, at 9:13 PM, Stefano Quintarelli wrote:
vediamo se mi spiego…
sto lavorando con gli interni per la legge sulle intercettazioni
li’ si disciplinera’ molto.
li’ ci sara’ scritto: per i reati x,y, si puo’ fare B; per w e z si puo’ fare C
se non c’e’ scritto, non si puo’ fare.
ora, essendo che l’interesse del legislatore e’ fare il bene della collettivita’, ed essendo io (legislatore) preoccupato dall’uso di tor e VPN varie, se mi dici che cosa e’ abilitato dai tuoi tools, io posso suggerire che tale funzione sia prevista.
neutralizzare e’ troppo generico. puo’ voler dire che ci leggi dentro, che blocchi la comunicazione, che la rendi inutilizzabile, ecc.
se vuoi dirmi cosa intendi per “neutralizzare”, io posso suggerire che sia incluso.
senno’, amen. (e la prossima volta che si torna sulla legge, dopo questo giro, sara’ nella prossima legislatura..)
ciao!, s. “
31 luglio 2015 @ 10:25
capisco che ci siano troppi commenti a questo post e quindi sia difficile seguire. posso chiederti di leggere almeno quelli cui ho risposto ?
31 luglio 2015 @ 10:28
Ho riletto attentamente il post, soprattutto gli UPDATE…Quintarelli, con questo post ed i suoi update..hai solo voluto mettere le mani avanti, sei un gran paraculo :-), paraculo e parlamentare.
Prima o poi non sarai più parlamentare, quindi ne riparleremo, appena tornerai un perfetto signor nessuno come il sottoscritto.
31 luglio 2015 @ 10:35
Quinta..con tutto il “rispetto”, come ho detto nel mio commento successivo, secondo me hai solo voluto mettere le mani avanti, chiamiamolo “epic fail”. Però hai tempo per ravvederti e porre rimedio, sai come ? Sostenendo l’importanza dell’anonimato in Rete, sostenendo il progetto TOR e tutte le ‘darknet’ ad esso collegate, certo non sostenendo merdate tipo “Hacking Team”.
Sei un legislatore, è tuo dovere ascoltarmi ed è tuo dovere fare il “bene” della comunità, il bene della comunità, per evitare di diventare uno Stato alla pari della Corea o del Sudan, è quello di tutelare i cittadini, i loro diritti alla privacy e all’anonimato in Rete. Combattere i mostri come hacking team e le forze di polizia che spiano tutto lo spiabile (passami il termine).
E sono andato OT, non prendertela, può succedere, succede dai tempi di Usenet, e succederà ancora 🙂
Un saluto caro,
orez
31 luglio 2015 @ 10:46
io sostengo l’anonimato protetto. da sempre.
devo avere delle capacita’ divinatorie… le dovrei mettere a frutto..
31 luglio 2015 @ 10:59
Quinta, rileggi quello che scrivevi a in una mail, “eri preoccupato dall’uso di TOR e VPN”, e mi vieni a dire che sostieni l’anonimato da sempre ? Mi vuoi prendere in giro ? Non sono tipo che si fa prendere in giro, mi arrabbierei tantissimo.
“On Apr 13, 2015, at 9:13 PM, Stefano Quintarelli wrote:
vediamo se mi spiego…
sto lavorando con gli interni per la legge sulle intercettazioni
li’ si disciplinera’ molto.
li’ ci sara’ scritto: per i reati x,y, si puo’ fare B; per w e z si puo’ fare C
se non c’e’ scritto, non si puo’ fare.
ora, essendo che l’interesse del legislatore e’ fare il bene della collettivita’, ed essendo io (legislatore) preoccupato dall’uso di tor e VPN varie, se mi dici che cosa e’ abilitato dai tuoi tools, io posso suggerire che tale funzione sia prevista.
neutralizzare e’ troppo generico. puo’ voler dire che ci leggi dentro, che blocchi la comunicazione, che la rendi inutilizzabile, ecc.
se vuoi dirmi cosa intendi per “neutralizzare”, io posso suggerire che sia incluso.
senno’, amen. (e la prossima volta che si torna sulla legge, dopo questo giro, sara’ nella prossima legislatura..)
ciao!, s. ”
31 luglio 2015 @ 12:16
perché secondo te se in una mail privata gli scrivevo “guarda, sono per l’anonimato protetto, voglio fare proposte per limitarti, mi spieghi come fai ?” avevo maggiori probabilità di successo di farmi spiegare cosa faceva ?
vai a vedere le mie dichiarazioni pubbliche e soprattutto i miei atti formali, degli ultimi 20 anni. poi giudica.
ciò detto, la policy del mio blog è che **da sempre** non accetto post anonimi.
quindi, se non mi rispondi alle mail che ti ho mandato, questo interessante thread lo cancello…
31 luglio 2015 @ 13:50
Scusa non ho controllato la casella e-mail, vado immediatamente.
Una cosa devi imparare da “noi anonimi”, i thread non li cancelliamo mai e ci mettiamo sempre in gioco, con chiunque ci sia dall’altra parte :-).
Quindi mi stai dicendo che la tua era una sorta di operazione di intelligence…, una cosa che ammirerei tantissimo, in primis perchè fatta direttamente da un legislatore senza mettere di mezzo le (s)forze di “Pulizia”, secundis perchè fatte da un rappresentante del PD, da sempre noto feudo di pseudo-politici fuori-controllo e avvezzi solo alla costruzione di un “potere” territoriale (ma io ti ho sempre ammirato, lo ammetto, proprio perchè voce fuori dal coro).
Se hai notato bene ho anche linkato il mio web space, così tanto per far capire che esisto, nonostante l’aleatorietà del mio be-electro-human.
Le policy della mio manifesto sono di combattere la violazione della privacy in tutti i modi, ordinari e straordinari, e di combattere chi fa di tutto per violarla.
con affetto,
orez
P.S. vado a leggere le e-mail!
2 agosto 2015 @ 18:18
E’ materia delicata. Quanto sarebbe bello se in queste cose fosse tutto bianco o tutto nero! Purtroppo non è così! Se è vero che noi in Europa abbiamo avuto la STASI, è anche vero che USA e GB hanno avuto a che fare con Enigma! Nessuna posizione è censurabile: tutti hanno le loro buone ragioni. Sia coloro che condannano ogni forma di intercettazione ma anche chi promuove la liceità di alcune di queste. Occorrono leggi, chiare e cristalline che stabiliscono i confini tra cosa e lecito e cosa non lo è. Non ci vedo pertanto nulla di male in un parlamentare che sta sondando fino a che cosa ci si può spingere nelle intercettazione per fare tale legge, una legge buona si spera!
3 agosto 2015 @ 10:08
Permettimi di dissentire, non su tutto, ma su parte del tuo ragionamento.
Ora, senza scendere in profondità dello stesso.. (ragionamento), diciamo che, come si dovrebbe evincere dai miei post (repliche), io mi riferisco alla privacy del cittadino comune, quindi quello che nulla ha a che vedere con organizzazini criminali, bande armate, mafie di ogni estrazione, regionali et similia.
Però ci tengo a precisare che ho chiarito con Quintarelli in persona i punti “caldi” a cui mi riferivo e mi sono reso conto che, com’era lecito sospettare, non conoscevo ogni aspetto della questione.
Mi resta solo un dubbio, ma credo sia più di carattere etico/professionale;
Le forze investigative, di polizia, di controllo/repressione etc., insomma le “sforze” di “pulizia”… devono potersi appoggiare ai professionisti della sicurezza per coaudiuvare le loro attività di intelligence ? Boh…io risponderei “si arrangiassero”, visto che sono così arroganti e brave a ciarlare in pubblico di quanto sono “Bravi e preparati”…